Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Página 1 de 43
71-F.05 V.5
SECRETARÍA DISTRITAL DE HACIENDA
DESPACHO DEL SECRETARIO DE HACIENDA
OFICINA DE CONTROL INTERNO
INFORME FINAL
AUDITORÍA INTERNA DE GESTIÓN AL CPR 39. ADMINISTRACIÓN DEL
SISTEMA DE INFORMACIÓN TRIBUTARIA Y CPR 65 GESTIÓN DE SERVICIOS
DE TIC
Código 02
Bogotá D.C., febrero de 2019
Página 2 de 43
71-F.05 V.5
Secretaria Distrital de Hacienda Beatriz Elena Arbelaez Martínez
Jefe de la Oficina de Control Interno Allan Maurice Alfisz Lopez
Equipo Auditor Irmis Soraya Maldonado Serrano
Auditor
Luz Adriana Ávila Uribe
Auditor
Mireya Daza Díaz
Auditor
Oscar Ramírez
Apoyo Técnico
Víctor Manuel Hernández Herrera
Auditor
Lorena Forestieri Rojas
Auditor Líder
Página 3 de 43
71-F.05 V.5
CONTENIDO CONTENIDO ..................................................................................................................................... 3
INTRODUCCIÓN .............................................................................................................................. 4
1. PLAN DE AUDITORÍA ............................................................................................................ 5
Objetivo General ........................................................................................................................ 5
Objetivos Específicos: ................................................................................................................ 5
Alcance....................................................................................................................................... 6
Criterios ...................................................................................................................................... 6
2. ASPECTOS DESTACADOS DURANTE EL DESARROLLO DE LA AUDITORÍA ........... 6
Desarrollo de la auditoría ........................................................................................................... 6
Metodología ............................................................................................................................... 7
Solicitud de Información ............................................................................................................ 7
3. INFORME DE GESTIÓN Y RESULTADOS .......................................................................... 8
3.1. HALLAZGOS / OBSERVACIONES .................................................................................... 8
3.1.1. Desarticulación de la información entre las bases de usuarios administrada por la
Subdirección de Talento humano, la Dirección de Informática y Tecnología, Dirección Jurídica y la
Dirección de Impuestos de Bogotá. .................................................................................................... 9
3.1.2. Se observa incumplimiento en los controles establecidos para suspender los accesos a los
sistemas de información de la Secretaría Distrital de Hacienda, ante las novedades administrativas.
27
3.1.3. Incumplimiento del numeral 5.2 del Manual del Subsistema de Gestión de Seguridad de
la Información, MN-05 ..................................................................................................................... 30
4. CONCLUSIONES ................................................................................................................... 42
5. SUGERENCIAS / RECOMENDACIONES ........................................................................... 42
Página 4 de 43
71-F.05 V.5
INTRODUCCIÓN
La Oficina de Control Interno, en desarrollo de lo previsto en los artículos 209 y 269 de la
Constitución Política, en la ley 87 de 1993 y demás normas que la complementan y
desarrollan y en virtud de lo programado en el Plan Anual de Auditoria para la vigencia
2018, realizó la auditoría de gestión al proceso de “Administración del Sistema de
información Tributaria y CPR-65 Gestión de Servicios de TIC”, con el propósito de
evaluar la gestión de usuarios, roles, privilegios y claves en los aplicativos de la Dirección
de Impuestos de Bogotá y sus respectivos controles. Este documento presenta el informe
resultante de la auditoria; contiene aspectos administrativos, normativos, hechos relevantes
y oportunidades de mejora, asimismo, se definen aspectos para dar cumplimiento a lo
establecido en el artículo 2° de la Ley 87 de 1993, literales “a. Proteger los recursos de la
organización, buscando su adecuada administración ante posibles riesgos que lo afecten y
f. Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones
que se presenten en la organización y que puedan afectar el logro de sus objetivos”. Para
el desarrollo de la auditoria fueron tenidas en cuenta las normas de auditoría generalmente
aceptadas, de acuerdo con lo establecido en el procedimiento de Gestión 71-P-02.
Tabla 1: Marco normativo Referente Descripción
Ley 1273 de 2009
(Congreso de la República de
Colombia, 2009)
A través de esta Ley se crearon nuevos tipos penales relacionados con delitos
informáticos y la protección de la información y de los datos con penas de
prisión de hasta 120 meses y multas de hasta 1500 salarios mínimos legales
mensuales vigentes.
Decreto 1499 de 2017
(Presidencia de la República
de Colombia, 2017)
Por medio del cual se modifica el Decreto 1083 de 2015, Decreto Único
Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de
Gestión establecido en el artículo 133 de la Ley 1753 de 2015.
CONPES 3701
(Departamento Nacional de
Planeación, 2011)
Lineamientos de política en ciberseguridad y ciberdefensa orientados a
desarrollar una estrategia nacional que contrarreste el incremento de las
amenazas informáticas que afectan significativamente al país. Adicionalmente,
recoge los antecedentes nacionales e internacionales, así como la normatividad
del país en torno al tema.
CONPES 3854
(Departamento Nacional de
Planeación, 2016)
Política Nacional de Seguridad digital. Establece un marco institucional claro
en torno a la seguridad digital. Se crean las condiciones para que las múltiples
partes interesadas gestionen el riesgo de seguridad digital en sus actividades
socioeconómicas y se genere confianza en el uso del entorno digital, mediante
mecanismos de participación y permanente, la adecuación del marco legal y
regulatorio de la materia y la capacitación para comportamientos responsables
en el entorno digital. Fortalecer la defensa y seguridad nacional en el entorno
digital, a nivel nacional y trasnacional, con un enfoque de gestión de riesgos.
Finalmente, generar mecanismos permanentes para impulsar la cooperación,
colaboración y asistencia en materia de seguridad digital, a nivel nacional e
internacional, con un enfoque estratégico.
Página 5 de 43
71-F.05 V.5
Guía No. 7 gestión de riesgos
(Ministerio de Tecnologías de
la Información y las
Comunicaciones, 2016a)
Marco de trabajo para la gestión de riesgos del Modelo de Seguridad y
Privacidad de la Información -MSPI- (MinTIC, 2016). A través de esta guía se
busca orientar a las Entidades a gestionar los riesgos de Seguridad de la
información basado en los criterios de seguridad (Confidencialidad,
Integridad, Disponibilidad) buscando la integración con la Metodología de
riesgos del DAFP.
Guía para la administración
del riesgo y el diseño de
controles en entidades
públicas
(DAFP, 2018)
Guía que unificar la metodología existente para la administración del riesgo de
gestión y corrupción, con el fin de hacer más sencilla la utilización de esta
herramienta gerencial para las entidades públicas y así evitar duplicidades o
reprocesos.
Manual de Gobierno digital
(Ministerio de Tecnologías de
la Información y las
Comunicaciones, 2018)
Manual que permite la adopción de la política de Gobierno Digital establecida
en el Decreto 1008 de 2018, que modifica el Decreto 1078 de 2015 libro 2,
parte 2, título 9. Cap. 1. Dicha política forma parte del Modelo Integrado de
planeación y Gestión (MIPG) y se integra con las políticas de Gestión y
Desempeño Institucional en la dimensión operativa de Gestión para el
Resultado con Valores.
Modelo de Gestión de
Riesgos de Seguridad Digital
(MinTIC, 2017)
Elaborado como respuesta a lo definido en la estrategia E.1.2 del documento
CONPES 3854 y su plan de acción y seguimiento (PAS).
1. PLAN DE AUDITORÍA
El plan de auditoría fue presentado el 26 de septiembre de 2018, a los responsables de los
procesos y sus respectivos colaboradores, el plan fue aceptado por las partes y se procedió
a su firma.
Como parte del plan de auditoría se definió los objetivos, alcance y criterios:
Objetivo General
Evaluar la gestión de usuarios, roles, privilegios y claves en los aplicativos de la Dirección
de Impuestos de Bogotá, con el fin de verificar la existencia y eficacia de los controles.
Objetivos Específicos:
1. Identificar y verificar la asignación de usuarios y roles, con sus respectivos
controles, de los aplicativos de la Dirección de Impuestos de Bogotá, según los
privilegios asignados a los usuarios (funcionarios, contratistas y Entes de
Control).
2. Verificar la gestión de roles ante las situaciones administrativas de los usuarios
(funcionarios, contratistas y Entes de Control).
Página 6 de 43
71-F.05 V.5
3. Verificar el uso de los privilegios y roles asignados a los usuarios de los
aplicativos de la Dirección de Impuestos de Bogotá.
4. Evaluar los riesgos asociados a los procesos CPR-39 Administración del Sistema
de Información Tributaria y CPR-65 Gestión de Servicios de TIC.
Alcance
La Auditoría abarcará la gestión de usuarios, roles y privilegios de los aplicativos de la
Dirección de Impuestos de Bogotá, en el periodo comprendido entre el 2 de noviembre de
2015 al 31 de agosto de 2018, mediante metodologías de muestras seleccionadas de
manera aleatoria.
Criterios
✓ Ley Estatutaria 1581 de 2012, Por la cual se dictan disposiciones generales
para la protección de datos personales.
✓ Decreto Reglamentario 1377 de 2013 Por el cual se reglamenta parcialmente la
Ley 1581 de 2012.
✓ Resolución 305 de 2008 de la Comisión Distrital de Sistemas, la Estrategia de
Gobierno en Línea del Ministerio de Tecnologías de la Información y las
Comunicaciones (MINTIC).
✓ POL-05 Políticas de Seguridad y Privacidad de la Información de la SDH
✓ POL-07 Política Integral de Administración de Riesgos de la SDH
✓ Instructivo 39-I-03 Gestión, Seguimiento y Control en la Asignación de
Usuarios, Roles y Privilegios
✓ Y demás normas vigentes que apliquen al desarrollo de la auditoría
2. ASPECTOS DESTACADOS DURANTE EL DESARROLLO DE LA
AUDITORÍA
Para el desarrollo de la auditoría se destaca los siguientes aspectos:
Desarrollo de la auditoría
Previo y posterior al plan de auditoría aprobado por parte del jefe de la Oficina de
Control Interno, y firmado por las partes, se realizaron diferentes actividades en
caminadas al desarrollo proactivo de la auditoría:
Tabla 2: Desarrollo de la auditoría Fecha Actividad
12/09/2018 Acercamiento inicial, con equipo de la Dirección de Informática y Tecnología
14/09/2018 Reunión para la elaboración del plan de auditoría con el equipo auditor
Página 7 de 43
71-F.05 V.5
18/09/2018 Continuación de la reunión para la elaboración del plan de auditoría
20/09/2018 Capacitación con la Subdirección de Servicios TIC, en el procedimiento de roles, usuarios y
privilegios.
20/09/2018 Capacitación con la Oficina Administración Funcional del Sistema, en el procedimiento de roles,
usuarios y privilegios en el SIT II.
26/09/2018 Apertura de la auditoria
26/09/2018 Requerimiento de información a la Subdirección de Talento Humano, Subdirección de Asuntos
contractuales, Dirección de Informática y Tecnología y a la Dirección de Impuestos de Bogotá
Del 1 oct al 16
de enero 2019
Recopilación de la información, cruce de base de datos, revisión de carpetas de funcionarios de la
DIB, revisión de carpetas de Contratistas de la DIB, elaboración de informe.
Metodología
La auditoría se llevó a cabo de acuerdo con las normas de auditoría generalmente
aceptadas y el procedimiento 71-P-02 de “Auditoría de Gestión” establecido por la
Oficina de Control Interno de la Secretaria Distrital de Hacienda. Las técnicas de
auditoría utilizadas en la presente auditoría son: reuniones con los responsables de las
áreas auditadas, entrevistas con funcionarios, revisión y cruce de información, revisión
documental, cruce de bases de datos, verificaciones aleatorias de usuarios del
aplicativo SIT II y las demás que se requieran durante la ejecución de esta. Lo anterior
se realizó con información seleccionada bajo técnicas no probabilística a conveniencia,
partiendo de la información que fue suministrada por las dependencias.
Solicitud de Información
Para el desarrollo de la auditoría inicialmente se efectuó solicitud de información
mediante los siguientes números de Cordis y correos electrónicos:
Tabla 3: Requerimiento de información. Fecha de
solicitud Cordis Dependencia Requerimiento Respuesta
26/09/2018 2018IE25212 Subdirección de
Talento Humano
Relación de los funcionarios adscritos
a la Dirección de Impuestos de
Bogotá, desde el 1 de agosto de 2016 a
31 de agosto de 2018
Documento de constancia de entrega
de los funcionarios retirados y encargo
desde el 1 de agosto de 2016 a 31 de
agosto de 2018
Documento de notificación de
situación administrativa desde el 1 de
agosto de 2016 a 31 de agosto de
2018, exceptuando incapacidades,
vacaciones y licencias menores a 3
días
Por correo electrónico, 8
días después de la fecha
límite para la entrega de
la información
(10/10/2018)
La Subdirección de
Talento Humano no
entregó toda la
información solicitada.
Página 8 de 43
71-F.05 V.5
26/09/2018 2018IE25207
Subdirección de
Asuntos
Contractuales
Relación de los contratistas adscritos a
la Dirección de Impuestos de Bogotá,
desde el 1 de agosto de 2016 a 31 de
agosto de 2018
Documento de constancia de
terminación de contrato para los casos
a los que haya lugar, (paz y salvo)
desde el 1 de agosto de 2016 a 31 de
agosto de 2018
Por correo electrónico el
3/10/2018 y con el cordis
2018IE26085 del
03/10/2018,
Entrega de la información
de forma oportuna
26/09/2018 2018IE25206
Dirección de
Informática y
Tecnología
Inventario de los aplicativos vigentes
funcionales de la Dirección de
Impuestos de Bogotá
Inventario de roles y privilegios
Por correo electrónico del
05/10/2018 y por cordis
del 03/10/2018 entregado
a la oficina el 05/10/2018
26/09/2018 2018IE25209
Dirección de
Impuestos de
Bogotá
Acceso de consulta sin restricción al
Módulo de Actos Oficiales, Sistema de
Información Tributaria SIT II,
ECLIPSE Y RIT
Inventario de los aplicativos vigentes
funcionales de la Dirección de
Impuestos de Bogotá
Inventario de roles y privilegios
Relación de los tickets generados por:
Creación, adición y/o cambios en los
roles y privilegios desde agosto de
2016 a agosto 2018
Por correo electrónico de
forma oportuna.
(03/10/2018)
11/12/2018 Correo
electrónico
Dirección de
Informática y
Tecnología
Solicitud de logs de auditoría Correo electrónico del
08/01/2019.
11/12/2018 Correo
electrónico
Dirección de
Impuestos de
Bogotá
Aclaración de información en cuanto a
los privilegios asociados a los roles
Correo electrónico del
28/12/2018
3. INFORME DE GESTIÓN Y RESULTADOS
3.1. HALLAZGOS / OBSERVACIONES
La información remitida por los procesos objeto de esta auditoría fue analizada en virtud
de los objetivos definidos para su desarrollo, así:
Objetivo 1: Identificar y verificar la asignación de usuarios y roles, con sus
respectivos controles, de los aplicativos de la Dirección de Impuestos de Bogotá,
según los privilegios asignados a los usuarios (funcionarios, contratistas y Entes de
Control).
Página 9 de 43
71-F.05 V.5
3.1.1. Desarticulación de la información entre las bases de usuarios administrada por
la Subdirección de Talento humano, la Dirección de Informática y Tecnología,
Dirección Jurídica y la Dirección de Impuestos de Bogotá.
Al cotejar las bases de datos correspondientes a los usuarios de los funcionarios de la
Dirección de Impuestos de Bogotá con 1051 registros correspondientes a las vigencias
2016, 2017 y 2018, provistas por la Subdirección de Talento Humano STH, la Dirección
Jurídica, la Dirección de Impuestos de Bogotá y la Dirección de Informática y Tecnología,
se identificó lo siguiente:
• La base de datos suministrada por la Subdirección de Talento Humano (STH) no
relaciona 74 cédulas que se encuentran en la base de la Dirección de Informática y
Tecnología (DIT), pertenecientes a funcionarios de planta de la DIB de las
vigencias 2016, 2017 y 2018. lo que evidencia desarticulación de la información
entre las 3 áreas, ver tabla 4:
Tabla 4: Resultado cruce de información entre las bases de la DIT y la STH
ÍTEM CEDULA ÍTEM CEDULA ÍTEM CEDULA
1 79288598 26 51690765 51 51566224
2 37525082 27 79614479 52 7125394
3 52901320 28 51822291 53 52499551
4 91295070 29 37618479 54 41774363
5 51586759 30 80723409 55 38287404
6 52501266 31 13839769 56 14231489
7 79746491 32 1019094298 57 91011786
8 52009456 33 19360979 58 19484716
9 52979785 34 19350198 59 79156606
10 79620072 35 10127951744 60 39362849
11 529118017 36 52885370 61 80413970
12 79113144 37 19470851 62 80761683
13 71144698 38 19498828 63 11344467
14 52548079 39 51974775 64 51664501
15 51903278 40 38538912 65 52819887
16 39752536 41 79464883 66 12972695
17 23621787 42 52263405 67 52529377
18 79701231 43 51918948 68 79732596
19 40216183 44 51746826 69 1070006038
20 51655449 45 51688294 70 79818754
21 1023880151 46 52666671 71 52348020
22 79262159 47 52271892 72 52381235
23 19261057 48 51670544 73 51822291
24 51690765 49 79311635
25 79614479 50 51737496
• Del cruce de información entre la base de usuarios de la DIT y la DIB, se identificó
que 72 usuarios de la DIB no se encuentran relacionados en la base de la DIB, lo
que evidencia desarticulación de la información entre las dos direcciones, ver tabla
5:
Página 10 de 43
71-F.05 V.5
Tabla 5: Resultado cruce de información entre las bases de la DIT y la DIB
No. CEDULA No. CEDULA No. CEDULA No. CEDULA
1 1127951744 19 79256093 37 51978226 55 32609996
2 1032409152 20 79233307 38 51942316 56 30746063
3 1024460926 21 74170178 39 51939770 57 28788427
4 1018412138 22 73138642 40 51874480 58 26666771
5 93413861 23 54254469 41 51871721 59 21178981
6 80352543 24 53032410 42 51870881 60 21074982
7 80171735 25 52966455 43 51670506 61 21057106
8 79979589 26 52911847 44 51665118 62 20975692
9 79910308 27 52860909 45 51625515 63 20140212
10 79879510 28 52750651 46 51550326 64 19450285
11 79844582 29 52527569 47 46664812 65 19415872
12 79745670 30 52507660 48 46386216 66 19394031
13 79745196 31 52346342 49 39688053 67 19359964
14 79739958 32 52290792 50 39523513 68 19265702
15 79647833 33 52263736 51 38280418 69 19224465
16 79410261 34 52217370 52 36310557 70 16548819
17 79394142 35 52165804 53 35497243 71 15305773
18 79256202 36 52016406 54 35331869 72 13015197
OBSERVACIÓN REALIZADA POR LA DIRECCIÓN DISTRITAL DE
IMPUESTOS:
De acuerdo con la observación de la Oficina de Control Interno: “Del cruce de
información entre la base de usuarios de la DIT y la DIB, se identificó que 72 usuarios de
la DIB que no se encuentran relacionados en la base de la DIB, lo que evidencia
desarticulación de la información entre las dos direcciones, ver tabla 5.(SIC)” Nos
permitimos precisar que una vez revisada la información relacionada en la tabla 5, de los
72 usuarios relacionados, 71 no estaban en la Base de Datos DIB toda vez que no cuentan
con roles asignados en el Sistema de Información Tributario, dado que a todos los usuarios
bajo la modalidad de contratación de Planta, Provisional o contratista no se les asigna roles
en SIT, toda vez que depende de las funciones inherentes al cargo y a las asignadas por el
jefe inmediato. Ver Tabla 5.
Página 11 de 43
71-F.05 V.5
USUARIO CEDULA RESPUESTA
1 ACBELTRAN 52860909
No se encuentran en la BD-DIB por no tener roles
asignados
2 ACTORRES 51665118
3 AHRODRIGUEZ 93413861
4 AIBAÑEZ 51625515
5 AJIMENEZ 52016046
6 APATINO 30746063
7 APOVEDA 21057106
8 AROSAS 52966455
9 AVALOYES 54254469
10 AYEPES 19415872
11 BANCOS14 20140212
12 BVARGAS 52911847 Está relacionada en la BD de la DIB enviada a Control
Interno
13 CIDIAZ 46664812
14 CMMORALES 46386216
15 CPALACIOS 21074982
16 DPINZON 74170178
17 DPINZON 79745670
18 EALVAREZ 1018412138
19 ECAMPOSF 35531869
20 EMENDOZA 1024460926
21 EPRADA 39523513
22 EROMERO 13015197 Se encuentra relacionado en la BD enviada a CI, usuario
eromero con la C.C. 13615197
23 ESALAMANCA 79233307
No se encuentran en la BD-DIB por no tener roles
asignados
24 FCHAVEZ 16548819
25 FRODRIGUEZ 52217370
26 GAGARCIA 79910308
27 HAKLFONSO 79256202
28 HARAMIREZ 79410261
29 HBRICENO 52507660
30 HCASTIBLANCO 19394031
31 HROJAS 79256093
32 IBARERA 32609996
33 IMONDRAGO 1032409152
34 NIPRODRIGUEZ 52750651
35 JAMENDOZA 52527569
36 JARISTIZABAL 19450285
37 JHERRERA 39688053
38 JMAVENDANO 53032410
39 JORTIZS 80352543
40 KCONDE 36310557
41 KMARTUCCI 1127951744
Página 12 de 43
71-F.05 V.5
USUARIO CEDULA RESPUESTA
42 LJUNCO 80171735
43 LPENA 52346342
44 MALARCON 20975692
45 MALDANA 28788427
46 MAMADOR 19224465
47 MCANTILLO 26666771 Se encuentra relacionado en la BD enviada a Control
Interno
48 MCORREDOR 51939770 Se encuentra relacionado en la BD enviada a Control
Interno
49 MDELGADILLO 51870881 No se encuentra en la BD- DIB por no tener roles
asignados
50 MDIAZ 51871721 Se encuentra relacionado en la BD enviada a Control
Interno
51 MGOMEZV 51670506
No se encuentran en la BD-DIB por no tener roles
asignados
52 MLOSORO 35497243
53 MMARTIN 51550326
54 MPSANCHEZ 52165804
55 NQUIMBAY 51978226
56 OBONILLA 51874480
57 OCUBILLOS 19359964
58 OFRANCO 38280418
59 OROJASH 21178981
60 ORPARRA 79647833
61 ORUEDA 79879510
62 OSANCHEZ 79979589 Se encuentra relacionado en la BD enviada a Control
Interno
63 OSANCHEZ 79394142 Oscar Sánchez Gaitán, está pendiente en la BD- BIB
64 OSUAREZC 79844582
No se encuentran en la BD-DIB por no tener roles
asignados
65 OURIBE 79745196
66 PMARTINEZ 15305773
67 PVARGAS 73138642
68 RCASTILLO 19265702
69 SOCAMPO 52290792
70 SPSANCHEZ 51942316
71 VQUINTERO 52263736
72 YPULIDO 79739958
RESPUESTA DE LA OFICINA DE CONTROL INTERNO A LAS
OBSERVACIONES REALIZADAS POR LA DIB:
Analizadas las observaciones de respuesta al informe preliminar, la Dirección de
Impuestos de Bogotá no allegó argumentos técnicos y evidencias que desvirtúen el
hallazgo. Por lo anterior, el hallazgo se mantiene.
Página 13 de 43
71-F.05 V.5
Esto debido a que el hallazgo hace referencia a la desarticulación en la información que
suministraron las áreas responsables y en el análisis realizado se evidenciar inconsistencias
como se detallaron en este hallazgo, así mismo, en el momento de realizar la solicitud a la
Dirección de Informática y Tecnología el 25 de septiembre de 2018 se hizo referencia
específicamente a los usuarios, roles, privilegios y claves en los aplicativos de la DIB. Por
lo cual es importante resaltar que se debe realizar entre las áreas relacionadas en el
hallazgo acciones para la correcta articulación de la administración de los usuarios.
• La base suministrada por la Subdirección Jurídica (SJ) relaciona a 89 contratistas,
así: 6 contratistas de la vigencia 2016, 18 contratistas de la vigencia 2017 y 65
contratistas del 2018, esta base fue cruzada con las bases de la DIT y la DIB, se
identificó que 10 usuarios no se encuentran relacionados en ninguna de estas dos
bases, lo que evidencia desarticulación de la información entre las 3 áreas:
Tabla 6: Resultado cruce de información entre las bases de la DJ y las DIT y DIB
ÍTEM VIGENCIA CÉDULA
1 2016 93402096
2 2016 79622044
3 2016 79876179
4 2016 52460872
5 2016 79245606
6 2016 80525907
7 2017 93406130
8 2018 1072650607
9 2018 79539812
10 2018 1015433647
OBSERVACIÓN REALIZADA POR LA DIRECCIÓN DISTRITAL DE
IMPUESTOS:
Así mismo, en relación con la afirmación: "La base suministrada por/a Subdirección Jurídica
(SJ) relaciona a 89 contratistas, así: 6 contratistas de la vigencia 2016, 18 contratistas de /a
vigencia 2017 y 65 contratistas del 2018, esta base fue cruzada con las bases de /a DIT y la
DIB, se identificó que 10 usuarios no se encuentran relacionados en ninguna de estas dos
bases, lo que evidencia desarticulación de la información entre las 3 áreas": Una vez revisada
la información relacionada en la tabla 6, encontramos que los 10 usuarios relacionados, no
estaban en la BD-DIB en razón a no tener roles asignados en el Sistema de Información
Tributario. Ver Tabla 6. Es pertinente aclarar que no a todo contratista se le asignan roles en
SIT, esto depende del objeto del contrato.
Página 14 de 43
71-F.05 V.5
Tabla 6 ÍTEM VIGENCIA CÉDULA RESPUESTA
1 2016 93402096
No se encuentran
en La BD- DIB
por no tener roles
asignados
2 2016 79622044
3 2016 79876179
4 2016 52460872
5 2016 79245606
6 2016 80525907
7 2017 93406130
8 2018 1072650607
9 2018 79539812
10 2018 1015433647
RESPUESTA DE LA OFICINA DE CONTROL INTERNO A LAS
OBSERVACIONES REALIZADAS POR LA DIB:
El equipo auditor realizó la revisión de cada uno de los objetos de contrato de los
servidores relacionados en la Tabla 6: “Resultado cruce de información entre las bases de
la DJ y las DIT y DIB”. Y según la revisión realizada los objetos de los contratos del ítem
1 al 9 no es necesaria la activación de roles en el SIT II, por lo cual se rectifica lo señalado.
Sin embargo el objeto del contrato de la cédula 1015433647 hace referencia a: “Prestar
servicios de apoyo operativo para la realización de las actividades de saneamiento
contable de la Subdirección de Recaudación, Cobro y Cuentas Corrientes de la Dirección
de Impuestos de Bogotá” y según la base de la DIT tiene relacionado el rol
“OCR2_CONEXION” del SIT II así mismo se identificó inconsistencia en el número de
cédula, la base de la DIT relaciona el número de cédula 1015433644 y la base de la SAC la
cédula 1015433647.
No obstante, es importante que se realice una verificación de las bases de datos de los
usuarios con roles en el SIT II, para depurar la información y esta sea consistente,
confiable y clara.
• Así mismo en el cruce de información realizado entre todas las bases de usuarios
suministradas por la Dirección de Informática y Tecnología, la Dirección de
Impuestos de Bogotá, la Subdirección de Talento Humano y la Subdirección de
Asuntos Contractuales, se observó que a 18 usuarios no se identifica el tipo de
vinculación con la entidad (planta, contratista, auditor de la Contraloría de Bogotá,
auditor de la Oficina de CI, (ver tabla 7), así:
Página 15 de 43
71-F.05 V.5
Tabla 7: Usuarios sin información del tipo de vinculación con la DIB. ÍTEM CEDULA USUARIO OBSERVACIONES
1 52666671 MCANTILLO No se evidencia el tipo de vinculación del usuario con la entidad según las
bases suministradas por la DIT, la DIB, la STH SAC (planta, contratista,
auditor de la CB, auditor de la OCI) se encuentran en el directorio activo.
2 7125394 NJCADENAC
3 38287404 OSANCHEZ
4 52979785 ATORRESA
No se evidencia el tipo de vinculación del usuario con la entidad según las
bases suministradas por la DIT, la DIB, la STH SAC (planta, contratista,
auditor de la CB, auditor de la OCI)
5 52186429 BVARGASH
6 80492116 CRODRIGUEZ
7 20584784 DMARTIN
8 39735440 GGARNICA
9 79431621 GPIMENTEL
10 80050521 HCELIS
11 19382242 JAESPITIA
12 79965574 JCORTESM
13 19498828 LFERNANDEZ
14 51688294 MARBELAEZ
15 51670544 MECASTROD
16 41774363 MIBELTRAN
17 36170452 MMEDINA
18 39753849 MMUNERA
OBSERVACIÓN REALIZADA POR LA DIRECCIÓN DISTRITAL DE
IMPUESTOS:
Sin embargo, en relación con la manifestación de: "Así mismo en el cruce de información
realizada entre todas las bases de usuarios suministradas por la Dirección de Informática
y Tecnología, la Dirección de Impuestos de Bogotá, la Subdirección de Talento Humano y
la Subdirección de Asuntos Contractuales, se observó que a 18 usuarios no se identifica el
tipo de vinculación con la entidad (planta, contratista, auditor de la Contraloría de
Bogotá, auditor de la Oficina de CI", efectivamente, para algunos de los casos
relacionados, se identificó que no se encontraba el tipo de vinculación, ante lo cual se
procedió a realizar una depuración de la BD el día 8 de octubre de 2018.
CEDULA USUARIO OBSERVACIONES RESPUESTA
52.666.671 MCANTILLO
No se evidencia el tipo de
vinculación del usuario con la
entidad según las bases
suministradas por la DIT, la
DIB, la STH SAC (Planta,
contratista, auditor de la CB,
auditor de la OCI) encuentran
en el directorio activo.
Se solicitó la eliminación de los
roles de este usuario por
encontrarse en otra dependencia
de la entidad
7.125.394 NJCADENAC Se retiró de BD-DIB el 8 de
octubre de 2018
38.287.404 OSANCHEZ No se encuentran en la DB- DIB
por no tener roles asignados
52.979.785 ATORRESA No se evidencia el tipo de
vinculación del usuario con la
entidad según las bases
suministradas por la DIT, la
Se retiró de BD- DIB el 8 de
octubre de 2018
52.186.429 BVARGASH Se retiró de BD- DIB el 8 de
octubre de 2018
Página 16 de 43
71-F.05 V.5
80.492.116 CRODRIGUEZ DIB, la STH SAC (Planta,
contratista, auditor de la CB,
auditor de la OCI)
Se retiró de BD- DIB el 8 de
octubre de 2018
20.584.784 DMARTIN Se retiró de BD- DIB el 8 de
octubre de 2018
39.735.440 GGARNICA Se retiró de BD- DIB el 8 de
octubre de 2018
79.431.621 GPIMENTELHCELIS Se retiró de BD- DIB el 8 de
octubre de 2018
80.050.521 HCELIS Se retiró de BD- DIB el 8 de
octubre de 2018
19.382.242 JAESPITIA Se retiró de BD- DIB el 8 de
octubre de 2018
79.965.574 JCORTESM Se retiró de BD- DIB el 8 de
octubre de 2018
19.498.828 LFERNANDEZ Se retiró de BD- DIB el 8 de
octubre de 2018
51.688.294 MARBELAEZ Se retiró de BD- DIB el 8 de
octubre de 2018
51.670.544 MECASTROD Se retiró de BD- DIB el 8 de
octubre de 2018
41.774.363 MIBELTRAN Se retiró de BD- DIB el 8 de
octubre de 2018
36.170.452 MMEDINA Se retiró de BD- DIB el 8 de
octubre de 2018
39.753.849 MMUNERA Se retiró de BD- DIB el 8 de
octubre de 2018
RESPUESTA DE LA OFICINA DE CONTROL INTERNO A LAS
OBSERVACIONES REALIZADAS POR LA DIB:
Analizada la observación de respuesta, la Dirección de Impuestos de Bogotá no allegó
argumentos técnicos y evidencias que desvirtúen el hallazgo, por el contrario, confirma las
inconsistencias evidenciadas, por lo cual se ratifica lo evidenciado.
• Se evidenció diferencias en la información entre las diferentes bases como, por
ejemplo:
USUARIO/ CÉDULA BASE DIT BASE DIB BASE STH
AHRODRIGUEZ CC 93413852 CC 93413861 CC 93413852
Página 17 de 43
71-F.05 V.5
OBSERVACIÓN REALIZADA POR LA DIRECCIÓN DISTRITAL DE
IMPUESTOS:
Nos permitimos aclarar que en el archivo enviado el 3 de octubre a la Oficina Asesora de
Control Interno, la cédula relacionada por la DIB fue 93413852, la cual corresponde a la
identificación correcta del funcionario.
RESPUESTA DE LA OFICINA DE CONTROL INTERNO A LAS
OBSERVACIONES REALIZADAS POR LA DIB:
Se aclara que, en la base de datos de la DIT, la cédula asociada al usuario
AHRODRIGUEZ es 93413861, este es un ejemplo de varias inconsistencias relacionadas
con las cédulas de los usuarios:
USUARIO/ CÉDULA BASE DIT BASE DIB BASE STH
AHRODRIGUEZ CC 93413861 CC 93413852 CC 93413852
ORUEDA CC 79879510
CC 79878510 CC 79878510 CC 79878510
EROMERO CC 13615197
CC 13015197 CC 13615197 CC13615197
Por lo que se ratifica lo evidenciado.
• Al realizar el análisis de los roles y privilegios asociados a los usuarios se
identificó que no se puede establecer de forma clara y precisa lo que hace cada uno
de los roles en los diferentes módulos del sistema de información tributaria SIT II.
Así, por ejemplo:
Tabla 8: Información de Roles y Privilegios.
Módulos ¿Qué hace? Roles Privilegios
SIT 2 -
Gestión
Tributaria
Módulo que apoya el manejo
estratégico de la entidad, sus
herramientas tienen por objetivo plasmar los procesos de planear,
organizar, registrar, evaluar y controlar de forma integral la
gestión para todas las áreas,
empezando desde la planeación, organización, control, hasta el
registro y seguimiento a la
gestión. Este componente lo conforman diferentes módulos
comunes a todas las áreas de la
DIB y otros módulos que son específicos de las mismas.
R_ST_AGT_ADMINISTRADOR Usuario de reparto con privilegios de
administración
R_ST_JUR_ADMINISTRADOR Usuario de jurídica con privilegios de
administración
R_ST_JUR_OPERADOR Usuario de jurídica con privilegios de operador
R_ST_JUR_CONSULTOR Usuario de jurídica con privilegios de consultor
R_ST_COB_ADMINISTRADOR Usuario de cobranzas con privilegios de
administrador
R_ST_CAC_OPERADOR Usuario de cobranzas con privilegios de operador
R_ST_CAC_CONSULTOR Usuario de cobranzas con privilegios de
consultar
R_ST_WF_ADMINISTRADOR Usuario de WorkFlow con privilegios de
administrador
R_ST_WF_CONSULTOR Usuario de WorkFlow con privilegios de
consultor
Página 18 de 43
71-F.05 V.5
OBSERVACIÓN REALIZADA POR LA DIRECCIÓN DISTRITAL DE
IMPUESTOS:
Sin embargo y en atención a la afirmación “Al realizar el análisis de los roles y privilegios
asociados a los usuarios se identificó que no se puede establecer de forma clara y precisa
lo que hace cada uno de los roles en los diferentes módulos del sistema de información
tributaria SIT II”. En atención a la solicitud realizada por la Oficina de Control Interno,
se envió mediante correo electrónico del 28 de diciembre de 2018, la ampliación de la
información referente a la descripción de los roles solicitados por dicha oficina.
RESPUESTA DE LA OFICINA DE CONTROL INTERNO A LAS
OBSERVACIONES REALIZADAS POR LA DIB:
Efectivamente, en reunión llevada a acabo con la Oficina Administración Funcional del
Sistema, se solicitó la ampliación de la descripción de los privilegios de los diferentes
roles utilizados en el SIT II, dicha Oficina manifestó que no se contaba con la información
al detalle solicitado, por lo que la Oficina de Control Interno requirió que por lo menos se
enviara la descripción de los privilegios de los roles de administradores, dicha información
fue recibida en un correo electrónico del 28 de diciembre del 2018, en este sentido se
realizó el análisis a la información enviada, donde se evidenció que no es claro lo que hace
los roles de administrador en los diferentes módulos del SIT II, así mismo no fue posible
identificar, guía, instructivo, manual del sistema o cualquier documento donde se pueda
establecer de forma precisa y clara los privilegios de todos los roles del sistema.
• Según la base de información de la Dirección de Informática y Tecnología, se
identifica 22 tipos de roles de administrador, asignados a 121 usuarios, de los
cuales se encuentran activos 115, así mismo como se mencionó anteriormente no
es posible determinar los privilegios de los roles en el sistema SIT II:
Tabla 9: Información de Roles y Privilegios.
No. USUARIO ROL ESTADO No. USUARIO ROL ESTADO
1 ABROJAS R_ST_ACT_ADMINISTRADOR OPEN 62 JPACHECOC R_ST_ACT_ADMINISTRADOR OPEN
2 AEGONZALEZ R_ST_AGT_ADMINISTRADOR OPEN 63 JPCHAVEZ R_ST_AEX_ADMINISTRADOR OPEN
3 AGUERRA R_ST_AEX_ADMINISTRADOR OPEN 64 JPCORTES R_ST_AEX_ADMINISTRADOR OPEN
4 AHERRERA R_ST_DYC_ADMINISTRADOR OPEN 65 JROMERO R_ST_AEX_ADMINISTRADOR OPEN
5 AIREVELO R_ST_PGE_ADMINISTRADOR OPEN 66 JRUIZ R_ST_AEX_ADMINISTRADOR OPEN
6 ALOZANO R_ST_ACT_ADMINISTRADOR OPEN 67 JRUIZA R_ST_AEX_ADMINISTRADOR OPEN
7 AMAYORGA R_ST_REC_VDT_ADMINISTRADOR OPEN 68 JSHERRERA R_ST_AEX_ADMINISTRADOR OPEN
8 AMONTANA R_ST_AEX_ADMINISTRADOR OPEN 69 JTELLO R_ST_REC_VDT_ADMINISTRADOR OPEN
9 AMORERA R_ST_AEX_ADMINISTRADOR OPEN 70 JWOROZCO R_ST_ACT_ADMINISTRADOR OPEN
10 AMOYA R_ST_AEX_ADMINISTRADOR OPEN 71 LJPENA R_ST_ACT_ADMINISTRADOR OPEN
11 APAEZ R_ST_AEX_ADMINISTRADOR OPEN 72 LMDIAZ R_ST_AGT_ADMINISTRADOR OPEN
12 APARDO R_ST_ACT_ADMINISTRA_ANT OPEN 73 LORTEGON R_ST_ACT_ADMINISTRADOR OPEN
13 APPARRA R_ST_AGT_ADMINISTRADOR OPEN 74 LSMOYANO R_ST_AEX_ADMINISTRADOR EXPIRED
14 ASANABRIA R_ST_REC_ADMINISTRADOR EXPIRED 75 LVELA R_ST_AEX_ADMINISTRADOR OPEN
Página 19 de 43
71-F.05 V.5
15 ASEGURA R_ST_AEX_ADMINISTRADOR OPEN 76 LVISCAINO R_ST_AEX_ADMINISTRADOR OPEN
16 ATORRESS R_ST_ACT_ADMINISTRADOR OPEN 77 MACEVEDO R_ST_ACT_ADMINISTRADOR OPEN
17 AVASQUEZ R_ST_AEX_ADMINISTRADOR EXPIRED 78 MBOHORQUEZ R_ST_AEX_ADMINISTRADOR OPEN
18 BPULIDO R_ST_CER_ADMINISTRADOR OPEN 79 MCCARDENAS R_ST_AGT_ADMINISTRADOR OPEN
19 CBERNAL R_ST_AEX_ADMINISTRADOR OPEN 80 MCHIQUIZA R_ST_AEX_ADMINISTRADOR OPEN
20 CBOHORQUEZ R_ST_ACT_ADMINISTRADOR OPEN 81 MDGUERRERO R_ST_AEX_ADMINISTRADOR OPEN
21 CHERNANDEZ R_ST_AEX_ADMINISTRADOR OPEN 82 MECASTROD R_ST_ACT_ADMINISTRADOR EXPIRED
22 CMJIMENEZ R_ST_AEX_ADMINISTRADOR OPEN 83 MGORTIZ R_ST_ACT_ADMINISTRA_ANT OPEN
23 CPMARTINEZ R_ST_REC_VDT_ADMINISTRADOR OPEN 84 MGSILVA R_ST_AEX_ADMINISTRADOR OPEN
24 CSIERRA R_ST_716_ADMINISTRADOR OPEN 85 MJAUREGUI R_ST_CCC_ADMINISTRADOR OPEN
25 CURIBE R_ST_AEX_ADMINISTRADOR OPEN 86 MJVELASQUEZ R_ST_ACT_ADMINISTRA_ANT OPEN
26 DAPONTE R_ST_AEX_ADMINISTRADOR OPEN 87 MRAMIREZ R_ST_AEX_ADMINISTRADOR EXPIRED
27 DCASTANEDA R_ST_AEX_ADMINISTRADOR OPEN 88 MRAMIREZS R_ST_AEX_ADMINISTRADOR OPEN
28 DCPINZON R_ST_AEX_ADMINISTRADOR OPEN 89 MTORRESB R_ST_AEX_ADMINISTRADOR OPEN
29 DCRINCON R_ST_AGT_ADMINISTRADOR OPEN 90 MXACERO R_ST_AEX_ADMINISTRADOR OPEN
30 DMESA R_ST_AEX_ADMINISTRADOR OPEN 91 NJBELTRAN R_ST_AEX_ADMINISTRADOR OPEN
31 DORTEGA R_ST_AEX_ADMINISTRADOR OPEN 92 NMORA R_ST_AEX_ADMINISTRADOR OPEN
32 DPARRAO R_ST_AGT_ADMINISTRADOR OPEN 93 NPERILLA R_ST_AEX_ADMINISTRADOR OPEN
33 DPPINEROS R_ST_AEX_ADMINISTRADOR OPEN 94 OBRINEZ R_ST_AEX_ADMINISTRADOR OPEN
34 DRONCANCIO R_ST_ACT_ADMINISTRA_ANT OPEN 95 OCAJALE R_ST_AEX_ADMINISTRADOR OPEN
35 DZERDA R_ST_AEX_ADMINISTRADOR OPEN 96 OLOCHOA R_ST_AEX_ADMINISTRADOR OPEN
36 EJSIERRA R_ST_AEX_ADMINISTRADOR OPEN 97 ONORIEGA R_ST_ACT_ADMINISTRADOR OPEN
37 EREINA R_ST_AEX_ADMINISTRADOR OPEN 98 ORODRIGUEZ R_ST_COB_ADMINISTRADOR OPEN
38 EVIASUZ R_ST_AEX_ADMINISTRADOR OPEN 99 OSAENZ R_ST_AEX_ADMINISTRADOR OPEN
39 EYCRUZ R_ST_ACT_ADMINISTRA_ANT OPEN 100 OVILLANUEVA R_ST_AEX_ADMINISTRADOR OPEN
40 FACUNA R_ST_AEX_ADMINISTRADOR OPEN 101 RALOPEZ R_ST_AEX_ADMINISTRADOR OPEN
41 FFORERO R_ST_AEX_ADMINISTRADOR OPEN 102 RAVENDANO R_ST_AEX_ADMINISTRADOR OPEN
42 FMALAGON R_ST_JUR_ADMINISTRADOR OPEN 103 RELOPEZ R_ST_REC_VDT_ADMINISTRADOR OPEN
43 GBRICENO R_ST_ACT_ADMINISTRA_ANT OPEN 104 RFONSECA R_ST_AGT_ADMINISTRADOR OPEN
44 GNARANJO R_ST_ACT_ADMINISTRADOR OPEN 105 RKORTIZ R_ST_CER_ADMINISTRADOR OPEN
45 GORTIZ R_ST_AEX_ADMINISTRADOR OPEN 106 RMANCERA R_ST_AEX_ADMINISTRADOR OPEN
46 HPERDOMO R_ST_AEX_ADMINISTRADOR OPEN 107 RMENDEZ R_ST_REC_VDT_ADMINISTRADOR OPEN
47 HPINEDA R_ST_AEX_ADMINISTRADOR OPEN 108 RRAMIREZ R_ST_AEX_ADMINISTRADOR OPEN
48 ICHAVEZ R_ST_AEX_ADMINISTRADOR OPEN 109 RRIOSC R_ST_ACT_ADMINISTRADOR OPEN
49 JACHAPARRO R_ST_AEX_ADMINISTRADOR OPEN 110 RRODRIGUEZ R_ST_ACT_ADMINISTRA_ANT OPEN
50 JASILVA R_ST_AEX_ADMINISTRADOR OPEN 111 SCORREAL R_ST_AEX_ADMINISTRADOR OPEN
51 JBARBOSA R_ST_AGT_ADMINISTRADOR OPEN 112 SMEZA R_ST_AEX_ADMINISTRADOR OPEN
52 JCABALLERO R_ST_ACT_ADMINISTRADOR OPEN 113 SMMORALES R_ST_AGT_ADMINISTRADOR OPEN
53 JCCASTANED
A R_ST_AEX_ADMINISTRADOR OPEN 114 SPLANDINEZ R_ST_AEX_ADMINISTRADOR OPEN
54 JCGONZALEZS R_ST_ACT_ADMINISTRA_ANT OPEN 115 TCASTANO R_ST_ACT_ADMINISTRADOR OPEN
55 JCORREA R_ST_CCC_ADMINISTRADOR OPEN 116 WATORRES R_ST_AEX_ADMINISTRADOR OPEN
56 JEROMERO R_ST_AEX_ADMINISTRADOR OPEN 117 WBOHORQUEZ R_ST_AEX_ADMINISTRADOR OPEN
57 JFRICO R_ST_AGT_ADMINISTRADOR OPEN 118 WROJAS R_ST_REC_VDT_ADMINISTRADOR OPEN
58 JGONZALEZO R_ST_AEX_ADMINISTRADOR OPEN 119 YGUARDIA R_ST_AEX_ADMINISTRADOR OPEN
59 JJGARZON R_ST_ACT_ADMINISTRADOR OPEN 120 YMOYANO R_ST_AEX_ADMINISTRADOR OPEN
60 JMORILLO R_ST_AEX_ADMINISTRADOR OPEN 121 YSILVA R_ST_AEX_ADMINISTRADOR EXPIRED
61 JOLAYA R_ST_AEX_ADMINISTRADOR OPEN
OBSERVACIÓN REALIZADA POR LA DIRECCIÓN DISTRITAL DE
IMPUESTOS:
Por otro lado “Según la base de información de la Dirección de Informática y Tecnología,
se identifica 22 tipos de roles de administrador, asignados a 121 usuarios, de los cuales se
encuentran activos 115, así mismo como se mencionó anteriormente no es posible
determinar los privilegios de los roles en el sistema SIT II”. En atención a la solicitud
realizada por la Oficina de Control Interno, se envió mediante correo electrónico del 28 de
Página 20 de 43
71-F.05 V.5
diciembre de 2018, la ampliación de la información referente a la descripción de los roles
solicitados por dicha oficina.
RESPUESTA DE LA OFICINA DE CONTROL INTERNO A LAS
OBSERVACIONES REALIZADAS POR LA DIB:
Efectivamente, en reunión llevada a cabo con la Oficina Administración Funcional del
Sistema, se solicitó la ampliación de la descripción de los privilegios de los diferentes
roles utilizados en el SIT II, dicha Oficina manifestó que no se contaba con la información
al detalle solicitado, por lo que la Oficina de Control Interno requirió que por lo menos se
enviara la descripción de los privilegios de los roles de administradores, dicha información
fue recibida en un correo electrónico del 28 de diciembre del 2018, en este sentido se
realizó el análisis a la información enviada, donde se evidenció que no es claro lo que hace
los roles de administrador en los diferentes módulos del SIT II, así mismo no fue posible
identificar, guía, instructivo, manual del sistema o cualquier documento donde se pueda
establecer de forma precisa y clara los privilegios de todos los roles del sistema.
Objetivo 2: Verificar la gestión de roles ante las situaciones administrativas de los
usuarios (funcionarios, contratistas y Entes de Control).
De la base suministrada por la Subdirección de Talento Humano que cuenta con un total
de 1807 registros, correspondientes a 664 funcionarios vinculados a la Dirección de
Impuestos de Bogotá y en la que se determina los encargos y retiros definitivos de la
entidad de las vigencias 2016, 2017 y 2018, se tomó una muestra probabilística a
conveniencia de 25 usuarios de los cual se analizó: “Fecha de retiro”, “Resolución y fecha
de nombramientos”, “diligenciamiento del formato Constancia de Entrega 85.F-10 y
“firma la declaración de aceptación de la política de seguridad y privacidad de la
información”, esto con el propósito de evaluar el cumplimiento de los controles
establecidos en el Manual del Subsistema de Gestión de Seguridad de la Información,
MN-05, el cual establece en el numeral 5.2: “Cada servidor público o contratista firma la
declaración de aceptación de la política de seguridad y privacidad de la información en el
momento de su posesión o firma del contrato de servicios. es prerrequisito para la
autorización de acceso a los recursos informáticos” y “La Dirección de Informática y
Tecnología (DIT) diseña e implementa procedimientos que cancelan automáticamente los
accesos a los recursos tecnológicos tales como sistemas de información y red corporativa,
a los servidores públicos o contratistas que finalizan la relación laboral o contractual con
la entidad. Para este fin se definió el formato Constancia de Entrega (85-F.10)”. De la
verificación realizada se destaca lo siguiente, (ver tabla 10):
Página 21 de 43
71-F.05 V.5
Tabla 10: Resultados del análisis revisión de carpetas de hojas de vida de los funcionarios
de la DIB.
USUARIO OBSERVACIONES
MRAMIREZS
• Según la corroboración realizada en las carpetas de la hoja de vida del funcionario desde el
22/02/2018 con la Resolución SHD-000123, se encuentra en encargo en la Oficina Asesora de
Planeación, en la base de la STH, no registra esta novedad administrativa.
• Firma el formato “Constancia de Entrega” 85-F.10, el 24/04/2018, es decir 61 días posterior al
nombramiento del encargo. en el capítulo correspondiente a la entrega de usuarios y claves, no
se registran la fecha de la solicitud.
• Firma la declaración de aceptación de la política de seguridad y privacidad de la información el
23/06/2016.
JGMARTINEZ
• El 28/02/2017 fue nombrado en encargo en la Oficina General de Fiscalización,
• Firma la declaración de aceptación de la política de seguridad y privacidad de la información el
04/02/2017
• Firma el formato “Constancia de Entrega” 85-F.10, el 15/03/2017, en el capítulo
correspondiente a la entrega de usuarios y claves, no se registran la fecha de recibido de la
solicitud.
• El 28/10/2018 es nombrado en la Oficina General de Fiscalización con la Resolución SHD-
000173 y no se evidencia diligenciamiento del formato de “Constancia de Entrega” 85-F.10
ALOZANOM
• En las vigencias 2016, 2017 y 2018 el funcionario se encuentra en permiso sindical.
• No se evidencia firma de la declaración de aceptación de la política de seguridad y privacidad
de la información
CC 19444588
• Firma la declaración de aceptación de la política de seguridad y privacidad de la información el
3/11/2015
• Resolución DGC-000164 del 12/03/2017, de aceptación de renuncia a partir de 01/04/2017
• Firma el formato “Constancia de Entrega” 85-F.10, el 27/03/2017, en el capítulo
correspondiente a la entrega de usuarios y claves, no se registran la fecha de recibido de la
solicitud.
• Este usuario no se encuentra relacionado en la base de información de la Dirección de
Informática y Tecnología - DIT.
CC 19461642
• Resolución DGC-000184 del 27/03/2017, de aceptación de renuncia a partir de 04/04/2017
• Firma el formato “Constancia de Entrega” 85-F.10, el 6/04/2017, 2 días después de la renuncia
efectiva, en el capítulo correspondiente a la entrega de usuarios y claves, no se registran la
fecha de recibido de la solicitud.
• Firma la declaración de aceptación de la política de seguridad y privacidad de la información el
3/11/2015
• Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB.
ABROJAS
• Resolución de nombramiento como directivo de la Oficina de Recursos Tributarios SHD-
000487- 04/07/2017.
• Firma la declaración de aceptación de la política de seguridad y privacidad de la información el
30/10/2017
• Firma el formato “Constancia de Entrega” 85-F.10, el 15/08/2017, 42 días después de la
renuncia efectiva, en el capítulo correspondiente a la entrega de usuarios y claves, no se
registran la fecha de recibido de la solicitud.
CC 51690760
• Nombrado en encargo a la Oficina Análisis y Control de Riesgos, Resolución 000632 del
29/10/2015.
• No se evidencia el formato de “Constancia de Entrega” 85-F.10, del encargo 2015.
• No se evidencia resolución de terminación de encargo de la Oficina de Análisis y Control de
Riesgos.
• Nombramiento en la Oficina de Fiscalización Grandes Contribuyentes con la Resolución DGC
Página 22 de 43
71-F.05 V.5
0000314 del 9/05/2018,
• No se evidencia el formato de “Constancia de Entrega” 85-F.10 del encargo 2018.
• Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB.
• La información fue recopilada de la carpeta del funcionario, la Subdirección de Talento
Humano no reportó las novedades de las vigencias 2016 y 2017.
DORTIZ
• No se evidencia la declaración de aceptación de la política de seguridad y privacidad de la
información firmada por la funcionaria.
• La cédula número 51717974, en la base de información de la Subdirección de Talento Humano
pertenece a Maria Patricia Rueda Guerrero, y en las bases de la DIT y la DIB, esta cedula está
asociada a la funcionaria Diana del Pilar Ortiz Bayona
FGUIZA
• Fue nombrada mediante Resolución No 434 del 25/11/2016 comisión como directivo en la
Subdirección de Determinaciones.
• Firma el formato “Constancia de Entrega” 85-F.10, el 5/12/2016, 10 días después del
nombramiento, en el capítulo correspondiente a la entrega de usuarios y claves, no se registran
la fecha de recibido de la solicitud.
• Firma la declaración de aceptación de la política de seguridad y privacidad de la información el
02/05/2012
CC 51789051
• Firma la declaración de aceptación de la política de seguridad y privacidad de la información el
26/11/2014
• Resolución de aceptación de renuncia DGC-000533 del 18/07/2017
• Firma el formato “Constancia de Entrega” 85-F.10, el 04/08/2017, 10 días después del
nombramiento, en el capítulo correspondiente a la entrega de usuarios y claves, no se registran
la fecha de recibido de la solicitud.
• Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB.
CC 51931449
• Retiro de la entidad el 15/11/2016
• Firma el formato “Constancia de Entrega” 85-F.10, el 15/12/2016, 30 días después del retiro de
la entidad, en el capítulo correspondiente a la entrega de usuarios y claves, no se registran la
fecha de recibido de la solicitud.
• Se evidencio oficio del 5/12/2016 solicitando la legalización del formato 85-F.10 por no
entregar de forma oportuna.
• Firma la declaración de aceptación de la política de seguridad y privacidad de la información el
01/02/2016
• Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB.
FBAEZ
• Es nombrada jefe de Oficina de Cuenta Corriente el 23/03/2016
• Resolución de aceptación de renuncia de jefe el 12/10/2016.
• No se evidencia formato de “Constancia de Entrega” 85-F.10, de la renuncia al cargo como
jefe de oficina.
• Es encargada como profesional grado 24 en la Oficina General de Fiscalización el 4/09/2017.
• Firma el formato “Constancia de Entrega” 85-F.10, el 18/09/2017, 14 días después del
nombramiento, en el capítulo correspondiente a la entrega de usuarios y claves, no se registran
la fecha de recibido de la solicitud.
CC 52693320
• Resolución de renuncia No.185, del 21/04/2016 como jefe de oficina de recursos tributarios.
• Comunicación de la Resolución No. 181 nombramiento como asesora del 19/04/2016.
• No se evidencia el formato de “Constancia de Entrega” 85-F-10, de la renuncia al cargo como
jefe de Oficina de Recurso de Tributario.
• Renuncia al cargo de asesor el 21/11/2017, no se evidencia formato de “Constancia de
Entrega” 85-F.10.
• Firma la declaración de aceptación de la política de seguridad y privacidad de la información el
24/04/2016
• Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB.
CC 52848442 • Renuncia el 09/08/2018, se evidencia carta de aceptación de la renuncia con cordis
Página 23 de 43
71-F.05 V.5
2018EE147028, no se encuentra en la carpeta la resolución de aceptación de la renuncia
• Firma el formato “Constancia de Entrega” 85-F.10, el 23/08/2018, 14 días después del retiro de
la entidad, en el capítulo correspondiente a la entrega de usuarios y claves, no se registran la
fecha de recibido de la solicitud.
• Firma la declaración de aceptación de la política de seguridad y privacidad de la información el
01/12/2015.
• Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB.
CC 79529694
• Carta de renuncia con fecha del 20/04/2018, Resolución 394 de 20/06/2018 de aceptación de la
renuncia a partir del 03/07/2018.
• Firma el formato “Constancia de Entrega” 85-F.10, el 01/08/2018, 14 días después del retiro de
la entidad, en el capítulo correspondiente a la entrega de usuarios y claves, no se registran la
fecha de recibido de la solicitud
• No se evidencia firma de la declaración de aceptación de la política de seguridad y privacidad
de la información.
• Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB.
CC 79865384
• Renuncia al cargo 2016ER68685 del 02/08/2016 A partir del 08/08/2016.
• Firma el formato “Constancia de Entrega” 85-F.10, el 11/08/2016 3 días después del retiro de
la entidad.
• Firma de la declaración de aceptación de la política de seguridad y privacidad de la
información, no registra fecha.
• Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB.
CC 1032461967
• Renuncia radicada 2017ER17593 del 01/03/2017 a partir del 06/03/2017
• Se acepta renuncia a partir del 06/03/2017 con Resolución SDH 000127 del 02/03/2017,
Resolución fue notificada el 22/03/2017, de la Oficina de Notificaciones y Documentación
Fiscal.
• Nombramiento con la Resolución SDH 000031 del 28/02/2017, en la Oficina de Fiscalización.
• No se evidencia firma el formato “Constancia de Entrega” 85-F.10.
• Firma de la declaración de aceptación de la política de seguridad y privacidad de la
información, el 16/02/2017.
• Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB.
CC 1093217031
• No se encuentra la declaración de aceptación de la política de seguridad y privacidad de la
información.
• Con oficio con cordis 2017ER59328 del 13/06/2017 renuncia a partir del 04/07/2017
• Resolución de aceptación de la renuncia SDH 000128 del 29/06/2017.
• Firma el formato “Constancia de Entrega” 85-F.10, el 10/07/2017, 6 días después del retiro de
la entidad
• El folio 47 corresponde a un encargo de otra funcionaria no pertenece a la hoja de vida de
Victoria Eugenia Hoyos.
CC 51867708
• Fue nombrada subdirectora de Determinaciones con la Resolución SDH-000054 del
28/01/2016.
• Firma de la declaración de aceptación de la política de seguridad y privacidad de la
información, el 16/02/2017.
• La Resolución SDH000377 de aceptación de la renuncia fue firmada el 04/10/2016.
• Firma el formato “Constancia de Entrega” 85-F.10, el 20/10/2016, 16 días después de la firma
de aceptación de la renuncia al cargo como directivo, en el capítulo correspondiente a la
entrega de usuarios y claves, no se registran la fecha de recibido de la solicitud
• Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB.
CC 52110359
• Resolución DGC-000447 del 20/06/2017 de aceptación de renuncia, a partir del 03/07/2017
• Firma el formato “Constancia de Entrega” 85-F.10, el 03/08/2017, 31 días después del retiro de
la entidad, en el capítulo correspondiente a la entrega de usuarios y claves, no se registran la
fecha de recibido de la solicitud.
Página 24 de 43
71-F.05 V.5
• Firma la declaración de aceptación de la política de seguridad y privacidad de la información,
el 03/11/2015.
• Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB.
CC 79634917
• Resolución de nombramiento en la Dirección Distrital de Presupuesto – DDP, Resolución
DGC-000429 del 29/06/2018. (la Resolución no se encuentra en la carpeta del funcionario).
• No se evidenció el formato “Constancia de Entrega” 85-F.10.
• En la base de funcionarios suministrada por la Subdirección de Talento Humano, no reporta el
encargo a la DDP.
• Firma la declaración de aceptación de la política de seguridad y privacidad de la información,
el 13/11/2013.
• Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB
CC 79865384
• Renuncia al cargo 2016ER68685 del 02/08/2016 A partir del 08/08/2016
• Firma el formato “Constancia de Entrega” 85-F.10, el 11/08/2016, 3 días después del retiro de
la entidad, en el capítulo correspondiente a la entrega de usuarios y claves, no se registran la
fecha de recibido de la solicitud.
• Firma la declaración de aceptación de la política de seguridad y privacidad de la información,
no registran la fecha.
• El usuario no se encuentra relacionado en las bases de información de la DIT y la DIB
CC1010171617
• Resolución SDH 000442 del 30/11/2016, de aceptación de renuncia al cargo.
• Firma el formato “Constancia de Entrega” 85-F.10, el 02/12/2016, 2 días después del retiro de
la entidad, en el capítulo correspondiente a la entrega de usuarios y claves, no se registran la
fecha de recibido de la solicitud.
• Firma la declaración de aceptación de la política de seguridad y privacidad de la información,
el 12/07/2016
• El usuario no se encuentra relacionado en las bases de información de la DIT y la DIB
LRODRIGUEZG
• Con el oficio 2017ER43210 del 28/04/2017 renuncia a cargo a partir del 08/05/2017
• Firma el formato “Constancia de Entrega” 85-F.10, el 08/05/2017, en el capítulo
correspondiente a la entrega de usuarios y claves, no se registran la fecha de recibido de la
solicitud.
• Firma la declaración de aceptación de la política de seguridad y privacidad de la información,
el 06/03/2017
CC 1093217031
• Resolución SDH 000128 del 29/06/2017 de aceptación de la renuncia a partir del 04/07/2017
• Firma el formato “Constancia de Entrega” 85-F.10, el 10/07/2017, en el capítulo
correspondiente a la entrega de usuarios y claves, se registra la fecha del 10/07/2017.
• El usuario no se encuentra relacionado en las bases de información de la DIT y la DIB
OBSERVACIÓN REALIZADA POR LA DIRECCIÓN DISTRITAL DE
IMPUESTOS:
De los errores relacionados en la Tabla 10 se encontraron 2 inconsistencias en cédula de
ciudadanía, las cuales se ajustarán con la DIT. Los demás relacionados en la tabla no se
encuentran en la BD-DIB por no tener roles de SIT II asignados.
USUARIO OBSERVACIONES RESPUESTA - DIB
CC 19461642
Resolución DGC-000184 del 27/03/2017, de aceptación de renuncia a partir de
04/04/2017 No se encuentran en la
BD-DIB por no tener roles
asignados en SIT II
Firma el formato “Constancia de Entrega” 85-F.10, el 6/04/2017, 2 días después de la renuncia efectiva, en el capítulo correspondiente a la entrega de usuarios y claves, no se
registran la fecha de recibido de la solicitud.
Firma la declaración de aceptación de la política de seguridad y privacidad de la
Página 25 de 43
71-F.05 V.5
información el 3/11/2015
Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB.
CC 51690760
Nombrado en encargo a la Oficina Análisis y Control de Riesgos, Resolución 000632
del 29/10/2015.
Está en el listado con error en cc, se ajustará con DIT
No se evidencia el formato de “Constancia de Entrega” 85-F.10, del encargo 2015.
No se evidencia resolución de terminación de encargo de la Oficina de Análisis y
Control de Riesgos.
Nombramiento en la Oficina de Fiscalización Grandes Contribuyentes con la
Resolución DGC 0000314 del 9/05/2018,
No se evidencia el formato de “Constancia de Entrega” 85-F.10 del encargo 2018.
Este usuario no se encuentra relacionado en las bases de información de la DIT y la
DIB.
La información fue recopilada de la carpeta del funcionario, la Subdirección de
Talento Humano no reportó las novedades de las vigencias 2016 y 2017.
DORTIZ
No se evidencia la declaración de aceptación de la política de seguridad y privacidad
de la información firmada por la funcionaria.
La cédula número 51717974, en la base de información de la Subdirección de Talento Humano pertenece a Maria Patricia Rueda Guerrero, y en las bases de la DIT y la DIB,
esta cedula está asociada a la funcionaria Diana del Pilar Ortiz Bayona
CC 51789051
Firma la declaración de aceptación de la política de seguridad y privacidad de la
información el 26/11/2014
No se encuentran en la
BD-DIB por no tener roles
asignados en SIT II
Resolución de aceptación de renuncia DGC-000533 del 18/07/2017
Firma el formato “Constancia de Entrega” 85-F.10, el 04/08/2017, 10 días después del
nombramiento, en el capítulo correspondiente a la entrega de usuarios y claves, no se registran la fecha de recibido de la solicitud.
Este usuario no se encuentra relacionado en las bases de información de la DIT y la
DIB.
CC 51931449
Retiro de la entidad el 15/11/2016
Firma el formato “Constancia de Entrega” 85-F.10, el 15/12/2016, 30 días después del retiro de la entidad, en el capítulo correspondiente a la entrega de usuarios y claves, no se
registran la fecha de recibido de la solicitud.
Se evidencio oficio del 5/12/2016 solicitando la legalización del formato 85-F.10 por
no entregar de forma oportuna.
Firma la declaración de aceptación de la política de seguridad y privacidad de la
información el 01/02/2016
Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB.
CC 52693320
Resolución de renuncia No.185, del 21/04/2016 como jefe de oficina de recursos
tributarios.
Comunicación de la Resolución No. 181 nombramiento como asesora del 19/04/2016.
No se evidencia el formato de “Constancia de Entrega” 85-F-10, de la renuncia al cargo como jefe de Oficina de Recurso de Tributario.
Renuncia al cargo de asesor el 21/11/2017, no se evidencia formato de “Constancia de
Entrega” 85-F.10.
Firma la declaración de aceptación de la política de seguridad y privacidad de la información el 24/04/2016
Este usuario no se encuentra relacionado en las bases de información de la DIT y la
DIB.
CC 52848442 Renuncia el 09/08/2018, se evidencia carta de aceptación de la renuncia con cordis
2018EE147028, no se encuentra en la carpeta la resolución de aceptación de la renuncia
Firma el formato “Constancia de Entrega” 85-F.10, el 23/08/2018, 14 días después del
retiro de la entidad, en el capítulo correspondiente a la entrega de usuarios y claves, no se registran la fecha de recibido de la solicitud.
Firma la declaración de aceptación de la política de seguridad y privacidad de la
información el 01/12/2015.
Este usuario no se encuentra relacionado en las bases de información de la DIT y la
DIB.
CC 79529694 Carta de renuncia con fecha del 20/04/2018, Resolución 394 de 20/06/2018 de
Página 26 de 43
71-F.05 V.5
aceptación de la renuncia a partir del 03/07/2018.
Firma el formato “Constancia de Entrega” 85-F.10, el 01/08/2018, 14 días después del retiro de la entidad, en el capítulo correspondiente a la entrega de usuarios y claves, no se
registran la fecha de recibido de la solicitud
No se evidencia firma de la declaración de aceptación de la política de seguridad y privacidad de la información.
Este usuario no se encuentra relacionado en las bases de información de la DIT y la
DIB.
CC 79865384
Renuncia al cargo 2016ER68685 del 02/08/2016 A partir del 08/08/2016.
Firma el formato “Constancia de Entrega” 85-F.10, el 11/08/2016 3 días después del retiro de la entidad.
Firma de la declaración de aceptación de la política de seguridad y privacidad de la
información, no registra fecha.
Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB.
CC
1032461967
Renuncia radicada 2017ER17593 del 01/03/2017 a partir del 06/03/2017
Se acepta renuncia a partir del 06/03/2017 con Resolución SDH 000127 del
02/03/2017, Resolución fue notificada el 22/03/2017, de la Oficina de Notificaciones y Documentación Fiscal.
Nombramiento con la Resolución SDH 000031 del 28/02/2017, en la Oficina de
Fiscalización.
No se evidencia firma el formato “Constancia de Entrega” 85-F.10.
Firma de la declaración de aceptación de la política de seguridad y privacidad de la
información, el 16/02/2017.
Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB.
CC 51867708
Fue nombrada subdirectora de Determinaciones con la Resolución SDH-000054 del
28/01/2016.
Firma de la declaración de aceptación de la política de seguridad y privacidad de la información, el 16/02/2017.
La Resolución SDH000377 de aceptación de la renuncia fue firmada el 04/10/2016.
Firma el formato “Constancia de Entrega” 85-F.10, el 20/10/2016, 16 días después de
la firma de aceptación de la renuncia al cargo como directivo, en el capítulo
correspondiente a la entrega de usuarios y claves, no se registran la fecha de recibido de
la solicitud
Este usuario no se encuentra relacionado en las bases de información de la DIT y la
DIB. 51867708
CC 52110359
Resolución DGC-000447 del 20/06/2017 de aceptación de renuncia, a partir del
03/07/2017
Firma el formato “Constancia de Entrega” 85-F.10, el 03/08/2017, 31 días después del
retiro de la entidad, en el capítulo correspondiente a la entrega de usuarios y claves, no se registran la fecha de recibido de la solicitud.
Firma la declaración de aceptación de la política de seguridad y privacidad de la
información, el 03/11/2015.
Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB.
CC 79634917
Resolución de nombramiento en la Dirección Distrital de Presupuesto – DDP,
Resolución DGC-000429 del 29/06/2018. (la Resolución no se encuentra en la carpeta del funcionario).
No se evidenció el formato “Constancia de Entrega” 85-F.10.
En la base de funcionarios suministrada por la Subdirección de Talento Humano, no
reporta el encargo a la DDP.
Firma la declaración de aceptación de la política de seguridad y privacidad de la
información, el 13/11/2013.
Este usuario no se encuentra relacionado en las bases de información de la DIT y la
DIB
CC 79865384
Renuncia al cargo 2016ER68685 del 02/08/2016 A partir del 08/08/2016
Firma el formato “Constancia de Entrega” 85-F.10, el 11/08/2016, 3 días después del
retiro de la entidad, en el capítulo correspondiente a la entrega de usuarios y claves, no se
Página 27 de 43
71-F.05 V.5
registran la fecha de recibido de la solicitud.
Firma la declaración de aceptación de la política de seguridad y privacidad de la información, no registran la fecha.
El usuario no se encuentra relacionado en las bases de información de la DIT y la DIB
CC1010171617
Resolución SDH 000442 del 30/11/2016, de aceptación de renuncia al cargo.
Firma el formato “Constancia de Entrega” 85-F.10, el 02/12/2016, 2 días después del retiro de la entidad, en el capítulo correspondiente a la entrega de usuarios y claves, no se
registran la fecha de recibido de la solicitud.
Firma la declaración de aceptación de la política de seguridad y privacidad de la
información, el 12/07/2016
El usuario no se encuentra relacionado en las bases de información de la DIT y la DIB
CC
1093217031
Resolución SDH 000128 del 29/06/2017 de aceptación de la renuncia a partir del
04/07/2017
Firma el formato “Constancia de Entrega” 85-F.10, el 10/07/2017, en el capítulo
correspondiente a la entrega de usuarios y claves, se registra la fecha del 10/07/2017.
El usuario no se encuentra relacionado en las bases de información de la DIT y la DIB
RESPUESTA DE LA OFICINA DE CONTROL INTERNO A LAS
OBSERVACIONES REALIZADAS POR LA DIB:
Analizadas las observaciones de respuesta al informe preliminar, la Dirección de
Impuestos de Bogotá no allegó argumentos técnicos y evidencias que desvirtúen el
hallazgo. Por lo anterior, lo observado se mantiene.
Es importante mencionar que lo evidenciado en la Tabla 10: “Resultados del análisis
revisión de carpetas de hojas de vida de los funcionarios de la DIB.”, hace referencia a que
independientemente que los funcionarios les fueran o no asignados roles en el sistema SIT
II, estos funcionarios deben tener asignado un usuario y en ninguna de las dos bases de
datos se encuentra esta información. En total son 17 funcionarios sin usuario.
3.1.2. Se observa incumplimiento en los controles establecidos para suspender los
accesos a los sistemas de información de la Secretaría Distrital de Hacienda,
ante las novedades administrativas.
Según lo observado en las Tabla 7: Resultados del análisis revisión de carpetas de hojas de
vida de los funcionarios de la DIB, ante la novedad administrativa de retiro o cambio de
área funcional, el control establecido para interrumpir el acceso a los sistemas de
información es el formato de “Constancia de Entrega 85-F.10”, sin embargo, en la muestra
tomada de 25 funcionarios, 23 de ellos ante las novedades administrativas, debían
diligenciar el formato 85-F.10, se identificó que 14 formatos fueron diligenciados días
después de la fecha de retiro de la entidad o de cambio de área y 5 no diligenciaron el
formato. De los 14 formatos recibidos por la Subdirección de Talento Humano, 20 de ellos
en el capítulo correspondiente a la entrega de usuarios y claves no se diligenció la fecha de
desactivación.
Página 28 de 43
71-F.05 V.5
Así mismo se evidencia que las novedades administrativas no son informadas a la
Dirección de Informática y Tecnología, de forma oportuna, por parte de la Subdirección de
Talento Humano, según lo observado únicamente informa el periodo de vacaciones de los
funcionarios, esto contraviene lo establecido en el en el Manual del Subsistema de Gestión
de Seguridad de la Información, MN-05, en el Numeral 5.2 “Control de Acceso y Uso de
los Sistemas de Información” en el parágrafo 4, establece “La Dirección de Informática y
Tecnología (DIT) diseña e implementa procedimientos para que, ante una novedad
administrativa, los derechos de acceso sean suspendidos durante el tiempo que se presente
la novedad”.
De la base suministrada por la Subdirección de Asuntos Contractuales, cuenta con un total
de 89 registros, correspondientes a 72 contratistas vinculados a la Dirección de Impuestos
de Bogotá, se tomó una muestra probabilística a conveniencia de 17 contratistas de los cual
se analizó: existencia de cláusula de confidencialidad de la información en los contratos,
informe final des supervisor y el diligenciamiento del formato “Constancia de Entrega
85.F-10”, esto con el propósito de evaluar la eficacia de los controles establecidos en el
Manual del Subsistema de Gestión de Seguridad de la Información, MN-05, el cual
establece en el numeral 5.2: “Cada servidor público o contratista firma la declaración de
aceptación de la política de seguridad y privacidad de la información en el momento de su
posesión o firma del contrato de servicios. es prerrequisito para la autorización de acceso
a los recursos informáticos” y “La Dirección de Informática y Tecnología (DIT) diseña e
implementa procedimientos que cancelan automáticamente los accesos a los recursos
tecnológicos tales como sistemas de información y red corporativa, a los servidores
públicos o contratistas que finalizan la relación laboral o contractual con la entidad. Para
este fin se definió el formato Constancia de Entrega (85-F.10)”, De lo cual se destaca lo
siguiente, (ver tabla 11):
Tabla 11: Resultados del análisis revisión de carpetas de los contratistas de la DIB
CONTRATISTA
Fecha de
terminación
del contrato
OBSERVACIÓN
CC 79622044 21-04-2017
• No se identifica el usuario en las bases de la DIT y la DIB
• El contrato cuenta con la cláusula de confidencialidad
• En la carpeta no se observó el informe final del supervisor.
• No se observó formato “Constancia de Entrega” 85-F.10
CC 93406130 31-12-2017
• No se identifica el usuario en las bases de la DIT y la DIB
• El contrato cuenta con cláusula de confidencialidad
• Se observa informe final del supervisor, no se especifica la entrega de
usuario y claves.
• No se observó formato “Constancia de Entrega” 85-F.10
CC 91105714 31-12-2017 • El usuario se encuentra relacionado en las bases de la DIT y la DIB.
Página 29 de 43
71-F.05 V.5
• El contrato cuenta con cláusula de confidencialidad
• Se observa informe final del supervisor, no se especifica la entrega de
usuario y claves
• No se observó formato “Constancia de Entrega” 85-F.10
CC 1072650607 29/07/2018
• El usuario no se encuentra relacionado en las bases de la DIT y la DIB.
• El contrato cuenta con cláusula de confidencialidad
• No se observó informe final del supervisor
• No se observó formato “Constancia de Entrega” 85-F.10
CC 93402096 23/05/2017
• El usuario no se encuentra relacionado en las bases de la DIT y la DIB.
• El contrato cuenta con cláusula de confidencialidad
• Se observa informe final del supervisor, no se especifica la entrega de
usuario y claves
• No se observó formato “Constancia de Entrega” 85-F.10
CC 79876179 25/05/2017
• El usuario no se encuentra relacionado en las bases de la DIT y la DIB.
• El contrato cuenta con cláusula de confidencialidad
• Se observa informe final del supervisor, no se especifica la entrega de
usuario y claves
• No se observó formato “Constancia de Entrega” 85-F.10
CC 52460872 21/05/2017
• El usuario no se encuentra relacionado en las bases de la DIT y la DIB.
• El contrato cuenta con cláusula de confidencialidad
• Se observa informe final del supervisor, no se especifica la entrega de
usuario y claves
• No se observó formato “Constancia de Entrega” 85-F.10
CC 79245606 24/05/2017
• El usuario no se encuentra relacionado en las bases de la DIT y la DIB.
• El contrato cuenta con cláusula de confidencialidad
• Se observa informe final del supervisor, no se especifica la entrega de
usuario y claves
• No se observó formato “Constancia de Entrega” 85-F.10
CC 80525907 31-12-2017
• El usuario no se encuentra relacionado en las bases de la DIT y la DIB.
• El contrato cuenta con cláusula de confidencialidad
• No se observa informe final del supervisor
• No se observó formato “Constancia de Entrega” 85-F.10
CC 79539812 31-12-2018 • El usuario no se encuentra relacionado en las bases de la DIT y la DIB.
• El contrato cuenta con cláusula de confidencialidad
CC 1015433647 31-12-2018 • El usuario no se encuentra relacionado en las bases de la DIT y la DIB.
• El contrato cuenta con cláusula de confidencialidad
CC 52031081 31-12-2018 • El usuario se encuentra relacionado en las bases de la DIT y la DIB.
• El contrato cuenta con cláusula de confidencialidad
CC 91105714 31-12-2018 • El usuario se encuentra relacionado en las bases de la DIT y la DIB.
• El contrato cuenta con cláusula de confidencialidad
CC 52331552 31-12-2017
• El usuario se encuentra relacionado en las bases de la DIT y la DIB.
• El contrato cuenta con cláusula de confidencialidad
• Se observa informe final del supervisor, no se especifica la entrega de
usuario y claves
• No se observó formato “Constancia de Entrega” 85-F.10
Página 30 de 43
71-F.05 V.5
CC 52851102 31-12-2017
• El usuario se encuentra relacionado en las bases de la DIT y la DIB.
• El contrato cuenta con cláusula de confidencialidad
• Se observa informe final del supervisor, no se especifica la entrega de
usuario y claves
• No se observó formato “Constancia de Entrega” 85-F.10
CC 52718213 10-05-2018
• El usuario se encuentra relacionado en las bases de la DIT y la DIB.
• El contrato cuenta con cláusula de confidencialidad
• Se observa informe final del supervisor, no se especifica la entrega de
usuario y claves
• No se observó formato “Constancia de Entrega” 85-F.10
CC 79442095 06-01-2017
• El usuario se encuentra relacionado en las bases de la DIT y la DIB.
• El contrato cuenta con cláusula de confidencialidad
• Se observa informe final del supervisor, no se especifica la entrega de
usuario y claves
• No se observó formato “Constancia de Entrega” 85-F.10
OBSERVACIÓN REALIZADA POR LA DIRECCIÓN DISTRITAL DE
IMPUESTOS:
De acuerdo con los resultados consignados en la Tabla 11, en lo concerniente a la DIB, se
informa que los usuarios no aparecen en la BD-DIB por no tener roles asignados.
Nuevamente se hace énfasis en que, no a todo usuario bien sea funcionario de planta,
contratista o planta provisional se le asignan roles en SIT, esto depende de las funciones
inherentes al cargo y a las asignadas por el jefe inmediato.
RESPUESTA DE LA OFICINA DE CONTROL INTERNO A LAS
OBSERVACIONES REALIZADAS POR LA DIB:
Analizadas las observaciones de respuesta al informe preliminar, la Dirección de
Impuestos de Bogotá no allegó argumentos técnicos y evidencias que desvirtúen el
hallazgo. Por lo anterior, lo observado se mantiene.
Es importante mencionar que lo evidenciado en la Tabla 11: “Resultados del análisis
revisión de carpetas de los contratistas de la DIB.”, hace referencia a que
independientemente que los contratistas les fueran o no asignados roles en el sistema SIT
II, estos funcionarios deben tener asignado un usuario y en ninguna de las dos bases de
datos se encuentra esta información. En total son 17 funcionarios sin usuario.
3.1.3. Incumplimiento del numeral 5.2 del Manual del Subsistema de Gestión de Seguridad
de la Información, MN-05
Página 31 de 43
71-F.05 V.5
Según el análisis realizado a los resultados de la evaluación de la muestra tomada de 17
funcionarios vinculados como contratistas a la Dirección de Impuestos de Bogotá y de los
cuales ya se encuentran en un estado finalizado, se identificó lo siguiente:
• No se diligenció en ninguno de los casos el formato “Constancia de Entrega 85-
F.10”, así como tampoco se identificó en el informe final del supervisor
información referente a paz y salvo en cuanto a usuarios y claves.
• En las carpetas de los contratistas no se identifica firma de la declaración de
aceptación de la política de seguridad y privacidad de la información, aunque se
identificó que en todos los contratos se encuentra establecida una cláusula de
confidencialidad de la información.
De lo anterior se evidencia que se está incumpliendo con el control establecido en el
Manual del Subsistema de Gestión de Seguridad de la Información, MN-05, el cual
establece en el numeral 5.2: “Cada servidor público o contratista firma la declaración de
aceptación de la política de seguridad y privacidad de la información en el momento de su
posesión o firma del contrato de servicios. es prerrequisito para la autorización de acceso
a los recursos informáticos” y “La Dirección de Informática y Tecnología (DIT) diseña e
implementa procedimientos que cancelan automáticamente los accesos a los recursos
tecnológicos tales como sistemas de información y red corporativa, a los servidores
públicos o contratistas que finalizan la relación laboral o contractual con la entidad. Para
este fin se definió el formato Constancia de Entrega (85-F.10)
Objetivo 3: Verificar el uso de los privilegios y roles asignados a los usuarios de los
aplicativos de la Dirección de Impuestos de Bogotá
Para verificar el uso de los privilegios y roles asignados a los usuarios de los aplicativos de
la Dirección de Impuestos de Bogotá, se solicitó a la Dirección Informática y Tecnología,
scripts de 37 usuarios, de las actuaciones de los roles y privilegios en los módulos del SIT
II de los años 2016 al 2018.
Del análisis realizado a las Scripts se evidenció lo siguiente, (ver tabla 9):
• Se recibieron 9 scripts de los 37 solicitados, estos nueve scripts son los únicos que
cuentan con logs de auditoría en el periodo solicitado del año 2016 al año 2018.
• Se evidencia que no se cuenta con un mecanismo efectivo de control que permita
identificar y monitorear las actuaciones de los usuarios en el sistema SIT II.
• Se identificó que 2 usuarios con scripts registraron actividades en el sistema SIT II,
después de su retiro de la entidad y cambio de oficina.
• 2 usuarios no registran scripts desde el año 2015.
• Según la información requerida, se realizó un cruce entre las bases de datos de los
scripts y los roles asignados a los usuarios, no fue posible identificar si los roles
asociados a los usuarios corresponden a las actuaciones en el SIT II.
Página 32 de 43
71-F.05 V.5
• Del total de los13 usuarios que no se registra información de usuario y scripts en el
SIT II, 8 tienen vinculación como contratistas y 5 vinculación de planta.
Tabla 12: Resultados del análisis de los Scripts por usuario
CEDULA USUARIO
BASE DIT/DIB VINCULACIÓN
SITUACIÓN
ADMINISTRATIVA ACTUACIONES SEGÚN SCRIPTS
51867708 N/A PLANTA Renuncia definitiva
-La DIT, no reporta Scripts del usuario
-No se encuentra relacionado el usuario del funcionario en
las bases de la DIT y la DIB
51931449 SZORRO PLANTA Se retira de la entidad
el 15/11/2016
-No se registra actividad en el sistema después de la renuncia
-No se encuentra relacionado en las bases de la DIT y la
DIB.
1010171617 N/A PLANTA Renuncia 18/10/2016
-La DIT, no reporta Scripts del usuario
-El usuario no se encuentra relacionado en la base de datos
de la DIT y la DIB
20533153 ABROJAS PLANTA Renuncia a la planta el 15/08/2017
La DIT, no reporta Scripts del usuario
39538031 MRSANCHEZ PLANTA Renuncia a planta
26/09/2017 La DIT, no reporta Scripts del usuario
51740491 FGUIZA PLANTA Renuncia al cargo como profesional
29/09/2017
La DIT, no reporta Scripts del usuario
1093217031 N/A PLANTA Renuncia
04/07/2017
-La DIT, no reporta Scripts del usuario -El usuario no se encuentra relacionado en la base de datos
de la DIT y la DIB
52263736 VQUINTERO PLANTA
Vacaciones 20/12/2017 al
14/01/2018
del 01/08/2018 al 26/08/2018
Solo tiene logs del año 2015
1015403825 LRODRIGUEZG PLANTA Retiro de la entidad
desde el 08/05/2017 Solo tiene logs del año 2015
52693320 CMARTINEZF PLANTA Retiro de la entidad
desde el 21/11/2017
Registra actividades en el sistema el 22/11/2017 un día después del retiro definitivo de la entidad. Modificaciones
en las tablas del sistema,
ST_ST_SOPORTE_TRIBUTARIO Columna ESTADO ST_ST_SOPORTE_TRIBUTARIO Columna ID_OBJETO
ST_ST_SOPORTE_TRIBUTARIO Columna ID_SUJETO
ST_ST_SOPORTE_TRIBUTARIO Columna ID_SOPORTE_TRIBUTARIO
ST_ACT_ACTO_GENERAL Columna
CODIGO_ESTADO_EMISION No registra formato de entrega 85-F.10
En la base de la DIT ni de la DIB se registra el Usuario
79622044 N/A CONTRATISTA Terminación de
contrato el 21/04/2017
-La DIT, no reporta Scripts del usuario
-El usuario no se encuentra relacionado en la base de datos de la DIT y la DIB
93406130 N/A CONTRATISTA Terminación de
contrato el 31/12/2017
-La DIT, no reporta Scripts del usuario
-El usuario no se encuentra relacionado en la base de datos
de la DIT y la DIB
91105714 FMARTINEZB CONTRATISTA Terminación de
contrato el 31/12/2017 -La DIT, no reporta Scripts
93402096 N/A CONTRATISTA Terminación de
contrato el 02/08/2017
-La DIT, no reporta Scripts -El usuario no se encuentra relacionado en la base de datos
de la DIT y la DIB
79876179 N/A CONTRATISTA Terminación de -La DIT, no reporta Scripts
Página 33 de 43
71-F.05 V.5
contrato el 02/08/2017 -El usuario no se encuentra relacionado en la base de datos de la DIT y la DIB
52460872 N/A CONTRATISTA Terminación de
contrato el 02/08/2017
-La DIT, no reporta Scripts
-El usuario no se encuentra relacionado en la base de datos
de la DIT y la DIB
79245606 N/A CONTRATISTA Terminación de
contrato el 02/08/2017
-La DIT, no reporta Scripts
-El usuario no se encuentra relacionado en la base de datos
de la DIT y la DIB
80525907 N/A CONTRATISTA Terminación de
contrato el 31/12/2017
-La DIT, no reporta Scripts -El usuario no se encuentra relacionado en la base de datos
de la DIT y la DIB
52331552 ICARRERO CONTRATISTA Terminación de
contrato el 16/04/2018 -La DIT, no reporta Scripts
52851102 NROJAS CONTRATISTA Terminación de
contrato el 31/12/2017 -La DIT, no reporta Scripts
52718213 LOLARTE CONTRATISTA Terminación de
contrato el 23/04/2018 -La DIT, no reporta Scripts
79442095 SABELTRAN CONTRATISTA Terminación de
contrato el 06/03/2017 -La DIT, no reporta Scripts
52848442 N/A PLANTA Renuncia
10/08/2018
-La DIT, no reporta Scripts -El usuario no se encuentra relacionado en la base de datos
de la DIT y la DIB
19354426 ALOZANOM PLANTA Activo, permiso
sindicar permanente
-La DIT, no reporta Scripts,
Este usuario pertenece a un funcionario que se encuentra en la Oficina de Gestión del Servicio, pero no se encuentra
relacionado en la base de datos de la DIB
51717974 PRUEDA PLANTA Activa -La DIT, no reporta Scripts
1024460926 EMENDOZA PLANTA
No registra
situaciones
administrativas
En la base de la DIT no registra que roles pertenecen al
usuario:
los Scripts registra actuaciones en las siguientes tablas: ST_ST_SOPORTE_TRIBUTARIO Columna
ID_SOPORTE_TRIBUTARIO,
ST_ST_SOPORTE_TRIBUTARIO Columna ESTADO,
ST_ST_SOPORTE_TRIBUTARIO Columna ID_OBJETO,
ST_ST_SOPORTE_TRIBUTARIO Columna ID_SUJETO,
ST_ST_SOPORTE_TRIBUTARIO Columna PLAN_ID_PLANTILLA,
ST_ST_SOPORTE_TRIBUTARIO Columna
NUMERO_SOPORTE_TRIBUTARIO, ST_ST_SOPORTE_TRIBUTARIO Columna
NOMBRE_CONTRIBUYENTE,
ST_ST_SOPORTE_TRIBUTARIO Columna DIRECCION_NOTIFICACION,
ST_ST_SOPORTE_TRIBUTARIO Columna
NUMERO_IDENTIFICACION, ST_ST_SOPORTE_TRIBUTARIO Columna
VALOR_PAGAR, ST_ST_SOPORTE_TRIBUTARIO
Columna VALOR_INTERES_MORA, ST_ST_SOPORTE_TRIBUTARIO Columna
VALOR_TOTAL_PAGADO,
ST_ST_SOPORTE_TRIBUTARIO Columna VALOR_SANCION_DECLARADO,
ST_ST_SOPORTE_VEHICULO Columna
VALOR_DERECHOS_SEMAFORIZACION, ST_ST_SOPORTE_VEHICULO Columna
SOTR_ID_SOPORTE_TRIBUTARIO,
ST_ST_SOPORTE_TRIBUTARIO Columna TELEFONO_CONTRIBUYENTE,
ST_ST_SOPORTE_TRIBUTARIO Columna
TIPO_IDENTIFICACION,
Página 34 de 43
71-F.05 V.5
ST_ST_SOPORTE_TRIBUTARIO Columna CODIGO_MUNICIPIO,
ST_ST_SOPORTE_TRIBUTARIO Columna
TIPO_ACTUACION ST_ST_SOPORTE_TRIBUTARIO Columna
VALOR_TOTAL_CON_PAGO_VOL,
ST_ST_SOPORTE_TRIBUTARIO Columna VALOR_PAGO_VOLUNTARIO,
ST_ST_SOPORTE_TRIBUTARIO Columna
VALOR_SALDO_CARGO, ST_ST_SOPORTE_TRIBUTARIO Columna
TIPO_SOPORTE, ST_ST_SOPORTE_TRIBUTARIO
Columna ORIGEN, ST_ST_SOPORTE_TRIBUTARIO Columna DIGITO_VERIFICACION_STICKER,
ST_ACT_ACTO_GENERAL Columna
CODIGO_ESTADO_EMISION, ST_RITP_PREDIO Columna ID_MUTACION, ST_RITP_PREDIO Columna
ID_PREDIO, ST_RITP_PREDIO Columna INSCRITO
ST_RITP_PREDIO Columna ID_DIR_STANDARD, ST_RITP_PREDIO Columna CHIP, ST_RITP_PREDIO
Columna MATRICULA_INMOBILIARIA,
ST_RITP_PREDIO Columna DIRECCION_OFICIAL, ST_RITP_PREDIO Columna CEDULA_CATASTRAL,
ST_RITP_PREDIO Columna ESTADO,
ST_RITP_PREDIO Columna ID_PUBLICO
51690760 GNARANJO PLANTA Ingresa a la DIB el
09/05/2018 Registra actuaciones en el sistema desde el 04/07/2018
53066582 N/A PLANTA Activo
-La DIT, no reporta Scripts
-El usuario no se encuentra relacionado en la base de datos de la DIT y la DIB
79634917 LCASTRO PLANTA Ingresa a la DDP el
26/06/2018
Las actuaciones en el sistema se registran hasta el
28/06/2018, es decir 2 días después de empezar el encargo en la DDP. se observa actividades en las tablas del sistema
ST_ST_SOPORTE_TRIBUTARIO Columna ID_SUJETO,
ST_ST_SOPORTE_TRIBUTARIO Columna ID_SOPORTE_TRIBUTARIO,
ST_ST_SOPORTE_TRIBUTARIO Columna ESTADO,
ST_ST_SOPORTE_TRIBUTARIO Columna ID_OBJETO, ST_ACT_ACTO_GENERAL Columna
CODIGO_ESTADO_EMISION,
ST_ACT_ACTO_GENERAL Columna FECHA_FIRMEZA
No se encuentra relacionado en la base de las DIT y la DIB
en la revisión realizada a la hoja de vida no se evidencia la entrega con el formato 85-F.10, así mismo no se encuentra
relacionado en la base de datos de TH las situaciones
administrativas como encargos
195213 MRAMIREZS PLANTA ENCARGO en la
OAP desde el
22/02/2018
-La DIT, no reporta Scripts
52580136 FBAEZ PLANTA ENCARGO desde el
28/12/2017 -La DIT, no reporta Scripts
1072650607 JSFAJARDO CONTRATISTA Terminación de contrato el 29/07/2018
-Según los Scripts solo tuvo actuaciones en el sistema el
14/06/2018 -No se encuentra relacionado en las bases de datos de la
DIB y la DIT
79539812 N/A CONTRATISTA
En ejecución.
Terminación de contrato el 31/12/2018
-La DIT, no reporta Scripts
-El usuario no se encuentra relacionado en la base de datos de la DIT y la DIB
1015433647 KGARIZA CONTRATISTA En ejecución. Las últimas actuaciones en el sistema se registran el
Página 35 de 43
71-F.05 V.5
Terminación de contrato el 31/12/2018
12/12/2018, en las bases de la DIB y la DIT no específica que roles tienen asociado el usuario
52031081 YCARDENAS CONTRATISTA
En ejecución.
Terminación de
contrato el 31/12/2018
-La DIT, no reporta Scripts
OBSERVACIÓN REALIZADA POR LA DIRECCIÓN DISTRITAL DE
IMPUESTOS:
Respecto a la información consignada en la tabla 12 es importante anotar lo siguiente:
✓ La DIB procede a solicitar a la DIT, creación o eliminación de los roles a un usuario,
en SIT II, una vez recibe el formato 65.F-14 correctamente diligenciado y remitido
por el jefe o funcionario delegado para tal fin.
✓ Dentro de las actuaciones operativas que tienen algunos usuarios, especialmente
Atención al Contribuyente, se encuentra la generación de las declaraciones asistidas,
lo cual tiene su trazabilidad en el sistema. Para el caso del usuario EMENDOZA, es
claro que la acción que ejecutó fue la “emisión de declaración asistida” como apoyo a
un contribuyente, de acuerdo con sus funciones.
RESPUESTA DE LA OFICINA DE CONTROL INTERNO A LAS
OBSERVACIONES REALIZADAS POR LA DIB:
Es importante resaltar que se debe establecer las medidas pertinentes para establecer los
logs de auditorías en el aplicativo SIT II, ya que como se evidenció en la Tabla 12:
“Resultados del análisis de los Scripts por usuario”, no es posible verificar la actuación de
los usuarios en el aplicativo SIT II.
Así mismo se verifica en el Módulo de Actos Oficiales-MAO del SIT II, por la opción de
consulta de Actos, información de 23 personas que fueron contratadas por la Dirección de
Impuestos de Bogotá, durante las vigencias 2016, 2017 y 2018.
a) Al realizar la consulta en el Módulo de Actos Oficiales, con el número de identificación
(cédula de ciudadanía) de cada contratista de la DIB, se encontró que para 16 de ellos el
Módulo no arroja información de permisos actualmente activos, 6 de ellos no tienen
contrato vigente con la Secretaría, así mismo ninguno de los 6 están relacionados en las
bases de usuarios de la DIT y la DIB.
Página 36 de 43
71-F.05 V.5
Tabla 13: Relación de contratistas con accesos inactivos al MAO - SIT II
CC NOMBRE CONTRATISTA VIGENCIA FECHA
TERMINACION
REGISTRO
TERMINACIÓN
93406130 ELKIN GEOVANNY LLACHE SUAREZ 2017 31/12/2017 POR PLAZO
80525907 FABIAN ARTURO ROJAS PUERTAS 2017 31/12/2017 POR MUTUO ACUERDO
79622044 FABIO HUMBERTO HERNANDEZ MARTINEZ 2016 21/04/2017 POR PLAZO
79245606 HUMBERTO GARCIA ALDANA 2016 24/05/2017 CON INFORME
79876179 JAVIER DEAZA CHAVES 2016 25/05/2017 CON INFORME
52460872 MARTHA SOLEDAD HERNANDEZ MORA 2016 21/05/2017 CON INFORME
En tanto que los 10 contratistas restantes cuentan con contrato que finaliza el 31/12/2018 y
los roles se encuentran activos (OPEN), relacionados a continuación:
Tabla 14: Relación de contratistas con accesos activos al MAO - SIT II
CC NOMBRE CONTRATISTA VIGENCIA CONTRATO
VIGENTE
ESTADO EN
SISTEMA
52966455 ADRIANA MARCELA ROSAS GUALDRON 2017-2018 SI OPEN
79201354 ALVARO RAFAEL PACHECO PIMIENTA 2018 SI OPEN
1018405682 ARLEY ADOLFO GUERRA ROMERO 2017-2018 SI OPEN
5908333 CESAR AUGUSTO QUIMBAYO MONJE 2017-2018 SI OPEN
80146650 EDGAR HERNANDO CALVO BERMUDEZ 2017-2018 SI OPEN
52718213 LINA MARIA OLARTE LAMPREA 2017-2018 SI OPEN
64571973 MARELIS DEL CARMEN GENES DIAZ 2017-2018 SI OPEN
30080838 MARIA JAQUELINE VELASQUEZ PARRADO 2017-2018 SI OPEN
79442095 SERGIO AUGUSTO BELTRAN MARTIN 2016-2017-2018 SI OPEN
52031081 YANETH CARDENAS SANCHEZ 2017-2018 SI OPEN
b) De otra parte, los 7 contratistas restantes (de los 23 analizados) cuentan con permisos
vigentes, evidenciado en el Módulo al consultar su identificación encontrando
información activa:
Esta información activa se explica en razón a que las 7 personas se encuentran actualmente
vinculados a la DIB con contratos que vencen el 31 de diciembre de 2018.
Página 37 de 43
71-F.05 V.5
Tabla 15: Contratistas con accesos activos al MAO - SIT II estado activo. IDENTIFICACION
CONTRATISTA NOMBRE CONTRATISTA VIGENCIA
CONTRATO
VIGENTE
93402096 CESAR AUGUSTO SERNA MEJIA 2016 SI
52331552 ISABEL CARRERO ROJAS 2017-2018 SI
52851102 NIDIA SOLANGE ROJAS MANCILLA 2017-2018 SI
51918270 MARIA SIRLEY PIÑEROS ARDILA 2017-2018 SI
1010188994 ANDRES FELIPE ROMERO GOMEZ 2017-2018 SI
91105714 FERNANDO MARTINEZ BLANCO 2017-2018 SI
52179678 ALEXSANDRA TORRES SUAREZ 2017-2018 SI
c) El Módulo presenta una alerta denominada “Es funcionario responsable no existe” que,
según aclara el área de Administración Funcional del Sistema, corresponde a los
contratistas que se han retirado de la entidad y a los cuales se inactiva los permisos y
roles asignados inicialmente, aunque nunca se suprime el usuario del historial del
Sistema de la entidad.
Para este grupo de contratistas a su vez, se realiza consulta del intervalo de tiempo en el
cual no estuvieron vinculados a la entidad, encontrando que en efecto no se generaron
actos durante ese lapso.
OBSERVACIÓN REALIZADA POR LA DIRECCIÓN DISTRITAL DE
IMPUESTOS:
Referente a las tablas 13, 14 y 15 estamos de acuerdo con lo consignado en las mismas por
parte de la Oficina Asesora de Control Interno, lo cual evidencia el cumplimiento del
procedimiento.
Objetivo 4: Evaluar los riesgos asociados a los procesos CPR-39. Administración del
Sistema de Información Tributaria y CPR-65 Gestión de Servicios de TIC.
Página 38 de 43
71-F.05 V.5
Evaluados los riesgos asociados a los procesos CPR-39: Administración del Sistema de
Información Tributaria y CPR-65: Gestión de Servicios de TIC, no se observó que se
encuentre identificados riesgos asociados a la administración de usuarios, roles y
contraseñas.
Tabla 16: CPR-39: Administración del Sistema de Información Tributaria y CPR-65:
Gestión de Servicios de TIC PROCESO /
ACTIVIDAD RIESGO CAUSA CONTROL
CPR-39 -
Administración del
Sistema de
Información
Tributaria
SDH253R -
Disponer en
producción un
servicio
inconsistente.:
SDH032C - Elaboración incompleta de la
especificación o cambios en las versiones
que afectan el resultado
SDH136CT - Definir RQS y
documentación de especificaciones
funcionales por parte de los usuarios
SDH520C - No contar con ambientes
(desarrollo, pruebas, preproductivo y
producción) nivelados.
SDH526CT - Solicitar la
implementación o disposición de
ambientes de prueba nivelados.
SDH521C - No contar con un plan de
pruebas definido, para determinar y
resolver al 100% las dificultades que
puedan presentarse.
SDH527CT - Verificar la inclusión de
un plan de pruebas en la especificación
funcional.
SDH254R - No
proveer la necesidad
determinada por el
área de origen.:
SDH036C - Cambios normativos en
materia tributaria
SDH341CT - Revisar permanentemente
los cambios normativos en materia
tributaria
SDH518C - Fallas en la comunicación
entre las áreas involucradas tanto de
origen como de destino.
SDH524CT - Realizar mesas de trabajo
SDH522C – La dirección de informática
y tecnología no ejecuta el requerimiento
SDH200CT - Hacer seguimiento a los
requerimientos
CPR-65 -
GESTIÓN DE
SERVICIOS DE
TIC
SDH046R -
Demoras en el
cubrimiento de la
necesidad prevista
en el plan anual de
adquisición.:
SDH559C - Retrasos y demoras en la
asignación de presupuesto y la etapa
precontractual.
SDH477CT - Verificar la inclusión de
las necesidades de contratación de la
DIT en el plan anual de adquisiciones de
la SDH.
SDH580CT - Solicitar aprobación de
vigencias futuras.
SDH181R - No
disponibilidad del
software de atención
de mesa de
servicios.:
SDH206C - Indisponibilidad en el
servidor donde reside el software de
gestión de la mesa de servicio.
SDH290CT - Registrar manualmente el
requerimiento.
SDH230R - Retrasos
en la atención de los
requerimientos o
incidentes.:
SDH066C - Volúmenes muy altos en las
solicitudes e incidentes por parte de los
usuarios internos o externos.
SDH143CT - Priorizar la atención de
solicitudes e incidentes.
SDH068C - Deficiencia en la gestión de
los casos de parte del analista que presta
soporte.
SDH585CT - Validar la documentación
requerida contractualmente en el perfil
del analista.
En cuanto a las actividades de control establecidas en el en el procedimiento 65-P-06
“Administración de Cuentas de Usuarios” para la administración de cuentas de usuarios: se
identificó lo siguiente:
Página 39 de 43
71-F.05 V.5
Política de Operación: “La Subdirección de Talento Humano enviará periódicamente vía
correo electrónico a la cuenta de creación usuarios [email protected] con
copia a la subdirección de Servicios de TIC, las novedades de vacaciones de los usuarios
de la entidad y se procederá a crear un tiquete para desactivar/activar las cuentas de
usuario durante ese periodo.”
Se verificó que la única novedad administrativa de la cual se genera desactivación directa
de los usuarios en el Sistema corresponde al periodo de vacaciones.
Política de Operación: “El usuario que se desvincule de la entidad o que efectúa cambio
de cargo en la SDH, debe gestionar el formato 85-F.10 “Constancia de Entrega”, una vez
recibido el formato en la subdirección de servicios de TIC, se procede a crear un tiquete
en la herramienta de gestión de mesa de servicios para la desactivación del perfil en la red
informática de la SDH e igualmente con la inactivación de todos los perfiles de las
aplicaciones asociadas al usuario.”
Según lo evidenciado en la revisión de las hojas de vidas de los funcionarios y en las
carpetas de los contratistas (Ver tablas 7 y 8), no se evidencia un estricto cumplimiento de
lo establecido en esta política de operación, ya que en unos casos el formato 85-F.10 es
firmado después de la fecha de término de la situación administrativa o en otros casos no
es diligenciado, así mismo no se define el término para el diligenciamiento en el
procedimiento.
Se adelanto la verificación y evaluación de las responsabilidades en materia de riesgos
teniendo como punto de partida lo señalado en el Procedimiento 85-P-01 Gestión de
situaciones administrativas y la articulación transversal con el procedimiento 65-P-06
Administración de Cuentas de Usuario, de esta labor se obtiene las siguientes
conclusiones:
No se pudo evidenciar acciones relacionadas con desactivar/activar las cuentas de usuario,
derivadas de las situaciones administrativas señaladas en la actividad 3. Tramitar situación
administrativa (Profesional Universitario / Profesional Especializado): comisiones,
licencias, permisos y vacaciones.
Para el diligenciamiento del formato 85-F.10 “Constancia de Entrega” se observó las
siguientes inconsistencias:
• Respecto de las acciones de las situaciones administrativas diferentes al disfrute de
vacaciones que impliquen cambio de dependencia o ausencia temporal de la
entidad se debe diligenciar el formato 85-F.10 Constancia de Entrega, El formato
Página 40 de 43
71-F.05 V.5
diligenciado no es verificado respecto de la autenticidad de las firmas, pues la
entidad no cuenta con un registro de las firmas autorizadas que permita cotejar su
autenticidad.
• El formato una vez diligenciado se archiva en la carpeta de historia laboral. No se
tiene un repositorio de las imágenes del formato radicadas que facilite la
verificación posterior del diligenciamiento tanto por parte de la dependencia como
de terceros involucrado, igualmente no se numeran los mismos.
• En el formato 85-F-.10 “Constancia de Entrega”, no se registra la situación
administrativa, que da origen a su diligenciamiento, de manera tal que cumpla con
el objetivo para el cual fue creado.
OBSERVACIÓN REALIZADA POR LA DIRECCIÓN DISTRITAL DE
IMPUESTOS:
El Proceso CPR-39 tiene identificados riesgos de corrupción asociados a la administración
de usuarios, roles y contraseñas, lo cual se evidencia en el en el mapa de riesgos de
corrupción 2019, publicado en la página web de la entidad, los cuales fueron revisados en
mesa de trabajo con la Oficina de Análisis y Control de Riesgos el 21 de enero de 2019.
Se adjuntan información referente a las acciones asociadas al control.
Acciones Asociadas al Control
Periodo de Ejecución Acciones Registro
Revisar y validar roles y
privilegios solicitados, así como
el funcionario autorizado para
dicha solicitud
Trimestral
Recibir la solicitud de asignación de roles y
privilegios y registrar el formato de
administración de cuentas de usuarios 65- F.14,
confrontando la información contra la matriz de
referencia donde se encuentran establecidos los
roles por oficinas.
Formato de administración de
cuentas de usuarios 65- F.14.
Correos electrónicos de
personal autorizado.
Designar los funcionarios a
cargo del trámite de roles y
privilegios de acceso al Sistema
de Información Tributaria
Continuo Esta designación del funcionario se realiza una
sola vez, y se cambia solo de ser necesario. Correo Electrónico
Restringir el número de
funcionarios a cargo de la
administración del MAO
Continuo
Designar un funcionario para el manejo de roles
de administración del MAO (Módulo de Actos
Oficiales) y otro funcionario como Backup de
esta función.
Correo Electrónico
Por lo anteriormente expuesto, este Despacho, solicita a la Oficina de Control Interno
retirar los hallazgos descritos, los cuales se encuentran en cabeza de la Oficina
Administración Funcional del Sistema.
Página 41 de 43
71-F.05 V.5
RESPUESTA DE LA OFICINA DE CONTROL INTERNO A LAS
OBSERVACIONES REALIZADAS POR LA DIB:
Una vez realizada la revisión de la matriz de riesgos de corrupción se observa la
identificación del riesgo asociado a la administración de usuarios y roles con el CPR-39
Administración del Sistema de Información Tributaria, por lo cual se rectifica lo señalado,
sin embargo las áreas responsables de la administración de usuarios, claves, contraseñas,
roles y privilegios (Dirección de Gestión Corporativa, Dirección de Informática y
Tecnología, Dirección de Impuestos de Bogotá) de la entidad deben conocer, socializar y
empoderarse de los riesgos de la administración de usuarios.
Página 42 de 43
71-F.05 V.5
4. CONCLUSIONES
4.1. Los mecanismos de control para la desactivación de roles y usuarios son
deficientes en cuanto a las situaciones administrativas como licencias, encargos,
incapacidades prolongadas y desvinculación de la entidad.
4.2. La articulación de los procesos de vinculación y desvinculación de funcionarios de
planta, funcionarios de entes de control y contratistas se encuentran desarticulado
del proceso de gestión de usuarios.
4.3. La falta de identificación de riesgos asociados a la administración de usuarios
permite que los controles establecidos sean deficientes y por lo tanto aumenta la
vulnerabilidad del sistema SIT II.
4.4. No es posible determinar los privilegios de cada unos de los roles asociados al
Sistema SIT II.
4.5. Se encuentran definidos 22 tipos de roles de administrador asociados a 121
usuarios, de los cuales 115 continúan activos, no es posible identificar los
privilegios de estos roles en el sistema SIT II.
5. SUGERENCIAS / RECOMENDACIONES
5.1. Se recomienda a la Dirección de Informática y Tecnología, la Dirección de
Impuestos de Bogotá, la Dirección de Gestión Corporativa y la Subdirección de
Asuntos Contractuales, crear los mecanismos de articulación de los procesos con el
propósito administrar de forma segura las bases de usuarios
5.2. Depurar en el sistema SIT II, los usuarios de la Dirección de Impuestos de Bogotá.
5.3. Se recomienda determinar los privilegios relacionados a los roles de los usuarios
en cada uno de los módulos de SIT II.
5.4. El Manual del Subsistema de Gestión de Seguridad de la Información MN-05, Los
procedimientos de Administración de Cuentas de Usuario 65-P-06 y el
Procedimiento Gestión de Situaciones Administrativas 85-P-01, no definen el
término para que los funcionarios o contratistas que se retiren de la entidad o estén
en una situación administrativa como encargo, comisión o traslado entre otras,
diligencien el formato Constancia de Entrega, 85-F.10, se recomienda definir un
término de entrega con el fin de salvaguardar los bienes y la información de la
Secretaría Distrital de Hacienda, ya que como se observó en el análisis de
Página 43 de 43
71-F.05 V.5
información los usuarios han permanecido con usuarios, claves activas tiempo
después de haberse retirado de la entidad.
5.5. Se recomienda establecer el mecanismo de reporte de novedades de las situaciones
administrativas de forma oportuna a la Dirección de Informática y Tecnología por
parte de la Subdirección de Talento Humano, con el propósito de salvaguardar la
información de la Secretaría Distrital de Hacienda.
5.6. La Dirección de Informática y Tecnología (DIT) debe diseñar e implementar los
controles que cancelen automáticamente los accesos a los recursos tecnológicos
tales como sistemas de información y red corporativa, a los servidores públicos o
contratistas que finalizan la relación laboral, contractual o otras situaciones
administrativas, como: encargos, licencias, comisiones, entre otras.
5.7. Se recomienda asignar número de radicación CORDIS al formato 85-F.10, lo que
permitirá generar traza e imagen del documento.
5.8. Se sugiere a la Subdirección de Talento Humano, Subdirección de Asuntos
Contractuales, la Dirección de Informática y Tecnología y a la Dirección de
Impuestos de Bogotá, de forma conjunta identificar los riesgos asociados a la
administración de los usuarios, roles, privilegios y claves, y así mismo diseñar los
controles pertinentes.